По данным компании Legit Security, большинство совершаемых действий на GitHub уязвимы для эксплуатации: они имеют чрезмерные привилегии или опасные зависимости. В отчёте отмечается, что состояние безопасности рабочих процессов разработчиков на GitHub вызывает особую обеспокоенность, поскольку большинство пользовательских действий не проверяются, поддерживаются одним разработчиком или генерируют низкие оценки безопасности на основе карты оценок OpenSSF.
По словам экспертов, безопасность рабочих процессов на GitHub является важным моментом в обеспечении безопасности открытого исходного кода. Небезопасные действия на GitHub могут позволить злоумышленникам скомпрометировать открытый исходный код и инициировать атаки на цепочку поставок или использовать их в качестве начального вектора атаки на организации, использующие GitHub.
Рой Блит, руководитель отдела исследований в Legit Security, отметил, что, несмотря на свою популярность, большинство рабочих процессов GitHub Actions в некотором роде небезопасны — от чрезмерной привилегированности до наличия высокорисковых зависимостей. Например, прошлое исследование Legit Security показало, что даже проекты таких глобальных предприятий, как Google и Apache, имеют недостатки. Эти результаты вызывают тревогу, поскольку GitHub Actions предоставляют ключ к критически важной инфраструктуре. Они связаны с исходным кодом организации и её средой развертывания, поэтому после эксплуатации организация полностью оказывается в руках злоумышленника.
Исследователи обнаружили интерполяцию ненадёжных входных данных в более чем 7000 рабочих процессов, выполнение ненадёжного кода в более чем 2500 рабочих процессов и использование ненадёжных артефактов в более чем 3000 рабочих процессов.
Эксперты Legit Security проверили триггеры, задания, шаги, исполнителей и разрешения, выявив существенные риски. Например, 98% ссылок, используемых заданиями и шагами, не следуют лучшей практике закрепления зависимостей (которая защищает от неожиданных изменений или обновлений), а 86% рабочих процессов не ограничивают разрешения токенов.
Полная версия отчёта представлена по ссылке.
Оригинал публикации на сайте CISOCLUB: "Legit Security: большинство рабочих процессов на GitHub в той или иной степени небезопасны".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.