8 月 16 日消息,派拓网络(Palo Alto Networks)旗下安全部门 Unit 42 于 8 月 13 日发布报告,表示托管在 GitHub 上的很多热门开源项目存在身份认证授权令牌(Auth tokens)泄露问题,让整个项目面临数据被盗和篡改植入恶意代码等风险。
Unit 42 部门发现包括谷歌、微软和 AWS 等公司在内,很多开源项目通过 CI / CD 工作流中使用 GitHub Actions 操作,存在泄露身份验证 tokens 的问题。
如果恶意行为者发现了这些 tokens,他们就可以利用它们访问私有存储库、窃取源代码,甚至篡改源代码,将合法项目变成恶意软件。
Unit 42 部门表示,默认设置、用户错误配置和安全检查不足等问题是上述问题的核心。
其中一个关键问题存在于“actions / checkout”操作中,默认情况下,该操作会将 GitHub tokens 保存在本地 .git 目录中(隐藏)。
但如果开发者出于某种原因上传了完整的签出目录,就会无意中暴露 .git 文件夹中的 GitHub tokens。
该部门在 GitHub 上共计发现了 14 个开源项目 tokens:
-
Firebase (Google)
-
OpenSearch Security (AWS)
-
Clair (Red Hat)
-
Active Directory System (Adsys) (Canonical)
-
JSON Schemas (Microsoft)
-
TypeScript Repos Automation, TypeScript Bot Test Triggerer, Azure Draft (Microsoft)
-
CycloneDX SBOM (OWASP)
-
Stockfish
-
Libevent
-
Guardian for Apache Kafka (Aiven-Open)
-
Git Annex (Datalad)
-
Penrose
-
Deckhouse
-
Concrete-ML (Zama AI)
该部门已经向 GitHub 和相应的项目所有者报告了这一情况,但 GitHub 表示不会解决这一问题,auth tokens 的安全性完全由项目所有者负责。在此附上相关链接,感兴趣的用户可以深入阅读。