托管在 GitHub 上的诸多开源项目被曝存在 Auth tokens 泄露问题

2024-08-16 08:37IT之家 - 故渊

IT之家 8 月 16 日消息,派拓网络(Palo Alto Networks)旗下安全部门 Unit 42 于 8 月 13 日发布报告,表示托管在 GitHub 上的很多热门开源项目存在身份认证授权令牌(Auth tokens)泄露问题,让整个项目面临数据被盗和篡改植入恶意代码等风险

Unit 42 部门发现包括谷歌、微软和 AWS 等公司在内,很多开源项目通过 CI / CD 工作流中使用 GitHub Actions 操作,存在泄露身份验证 tokens 的问题。

如果恶意行为者发现了这些 tokens,他们就可以利用它们访问私有存储库、窃取源代码,甚至篡改源代码,将合法项目变成恶意软件。

Unit 42 部门表示,默认设置、用户错误配置和安全检查不足等问题是上述问题的核心。

其中一个关键问题存在于“actions / checkout”操作中,默认情况下,该操作会将 GitHub tokens 保存在本地 .git 目录中(隐藏)。

但如果开发者出于某种原因上传了完整的签出目录,就会无意中暴露 .git 文件夹中的 GitHub tokens。

该部门在 GitHub 上共计发现了 14 个开源项目 tokens:

  • Firebase (Google)

  • OpenSearch Security (AWS)

  • Clair (Red Hat)

  • Active Directory System (Adsys) (Canonical)

  • JSON Schemas (Microsoft)

  • TypeScript Repos Automation, TypeScript Bot Test Triggerer, Azure Draft (Microsoft)

  • CycloneDX SBOM (OWASP)

  • Stockfish

  • Libevent

  • Guardian for Apache Kafka (Aiven-Open)

  • Git Annex (Datalad)

  • Penrose

  • Deckhouse

  • Concrete-ML (Zama AI)

该部门已经向 GitHub 和相应的项目所有者报告了这一情况,但 GitHub 表示不会解决这一问题,auth tokens 的安全性完全由项目所有者负责。IT之家在此附上相关链接,感兴趣的用户可以深入阅读。

广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。

文章价值:
人打分
有价值还可以无价值
置顶评论
    热门评论
      文章发布时间太久,仅显示热门评论
      全部评论
      请登录后查看评论
        取消发送
        软媒旗下人气应用

        如点击保存海报无效,请长按图片进行保存分享