IT资讯 托管在 GitHub 上的诸多开源项目被曝存在 Auth tokens 泄露问题

todd · 2024-08-16 10:15:05 · 热度: 14

8 月 16 日消息,派拓网络(Palo Alto Networks)旗下安全部门 Unit 42 于 8 月 13 日发布报告,表示托管在 GitHub 上的很多热门开源项目存在身份认证授权令牌(Auth tokens)泄露问题,让整个项目面临数据被盗和篡改植入恶意代码等风险

Unit 42 部门发现包括谷歌、微软和 AWS 等公司在内,很多开源项目通过 CI / CD 工作流中使用 GitHub Actions 操作,存在泄露身份验证 tokens 的问题。

如果恶意行为者发现了这些 tokens,他们就可以利用它们访问私有存储库、窃取源代码,甚至篡改源代码,将合法项目变成恶意软件。

Unit 42 部门表示,默认设置、用户错误配置和安全检查不足等问题是上述问题的核心。

其中一个关键问题存在于“actions / checkout”操作中,默认情况下,该操作会将 GitHub tokens 保存在本地 .git 目录中(隐藏)。

但如果开发者出于某种原因上传了完整的签出目录,就会无意中暴露 .git 文件夹中的 GitHub tokens。

该部门在 GitHub 上共计发现了 14 个开源项目 tokens:

  • Firebase (Google)

  • OpenSearch Security (AWS)

  • Clair (Red Hat)

  • Active Directory System (Adsys) (Canonical)

  • JSON Schemas (Microsoft)

  • TypeScript Repos Automation, TypeScript Bot Test Triggerer, Azure Draft (Microsoft)

  • CycloneDX SBOM (OWASP)

  • Stockfish

  • Libevent

  • Guardian for Apache Kafka (Aiven-Open)

  • Git Annex (Datalad)

  • Penrose

  • Deckhouse

  • Concrete-ML (Zama AI)

该部门已经向 GitHub 和相应的项目所有者报告了这一情况,但 GitHub 表示不会解决这一问题,auth tokens 的安全性完全由项目所有者负责。码农网在此附上相关链接,感兴趣的用户可以深入阅读。

猜你喜欢:
暂无回复。
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册