- Sysdig показывает
- Pull_request_target не только рискованно, но и заряженное оружие в чужих руках
- Даже первые проекты безопасности, такие как Mititers, могут упасть на простое злоупотребление рабочим процессом GitHub
Эксперты обнародовали несколько критических слабостей в действиях GitHub, которые могут серьезно вступить в некоторые важные проекты с открытым исходным кодом.
Недавно изученное расследование Исследовательская группа Sysdig (TRT) обнаружил, как недоразумения, в частности триггеры Pull_request_target, могут захватить злоумышленников с помощью активного репозитория или извлечь конфиденциальную информацию регистрации.
Команда продемонстрировала это, затрагивая проекты от известных организаций, таких как Splunk.
Действия GitHub широко распространены в современной разработке программного обеспечения для своих функций автоматизации, но этот комфорт часто скрывает риски безопасности.
«Современные атаки цепочки поставок часто начинают злоупотреблять неопределенными рабочими процессами», — говорится в отчете и определяет, как секреты, такие как токены или встроенные пароли, могут быть закреплены в необоснованных.
Несмотря на доступные лучшие практики и документацию, многие репозитории продолжают использовать конфигурации с высоким уровнем риска, либо от надзора, либо из -за отсутствия осведомленности.
В основе проблемы лежит триггер pull_request_target, который выполняет рабочие процессы в контексте основной ветви.
Эта настройка предоставляет увеличенные разрешения, включая доступ к секретам github_tooken и репозитория, на коде, представленном Forks.
Чтобы облегчить тесты до MERSGE, этот механизм также закрыт для выполнения не достойного кода, который создает слегка пропущенную поверхность атаки.
Риски не гипотетические, они реальны.
В репозитории Spotipy, который интегрирован в Spotify Web -api, Sysdig обнаружил настройку, в которой изготовленный код setup.py и секреты сбора урожая.
В хранилище аналитики кибербезопасности (CAR) Mititers (CAR) злоумышленники смогли выполнить произвольный код путем изменения зависимостей.
Sysdig подтвердил, что можно было взять на себя учетную запись GitHub, связанную с проектом.
Даже вспыхивает репозиторий Security_content, такие как секреты, как Appintususername и Appinspepectpassword, несмотря на ограниченный объем github_token.
Разработчики должны пересмотреть использование pull_request_target, принимая во внимание более безопасные альтернативы — Sysdig рекомендует разделить одноразмерные проверки и разрешать только чувствительные задачи после проверки.
Ограничение навыков токена и введение мониторинга в реальном времени с помощью таких инструментов, как кампании Falco, также может обеспечить значительную защиту.