著眼源码安全可靠,搜罗海内外新一代资料库!
网络化黄金时代,应用软件无所不在。应用软件有如社会风气中的“Jaunpur”,已经正式成为支撑力社会风气恒定运行的最基本上原素众所周知,应用软件的安全可靠性难题也已经开始正式成为当下的实质性、关键性问题。
随著应用信息产业的加速发展,应用软件物流配送也愈发繁杂多元化,繁杂的应用软件物流配送会导入一连串的安全可靠难题,引致信息管理系统的总体安全可靠防雷技术难度愈来愈大。近几年,特别针对应用软件物流配送的安全可靠反击该事件始终呈稳步增长势头,导致的危害性也愈来愈轻微。
有鉴于此,我们面世“物流配送安全可靠”版块。本版块汇集物流配送安全可靠资料库,预测物流配送安全可靠信用风险,提供更多减轻提议,为物流配送安全可靠添砖加瓦。
注:过往正式发布的部份物流配送安全可靠有关文本,请见variations“所推荐写作”部份。
Legit Security 公司正式发布安全可靠报告书表示,这种“纺织品下毒”软肋可影响采用 GitHub Actions 的应用软件工程项目。普通用户在应用软件倚赖中检验到更改时可促发build业务流程,进而加以控制。
该安全漏洞并非仅存在于理论上。安全可靠研究人员在管理Rust的工程项目中模拟了一次反击活动,引致该工程项目采用定制化且恶意的热门GCC应用软件库版重新校对。
研究人员表示,由于维护人员一般会在实际预测所贡献代码之前测试代码,因此该安全漏洞可能影响大量开放源码工程项目,“这是当前很常见的模式。当前很多开放源码工程项目在收到更改请求时,会运行测试对请求进行验证,原因是维护人员并不愿意首先审计代码,而是会自动运行测试。”
该反击利用的是经由GitHub Actions 开展的自动化构建业务流程。在Rust编程语言案例中,易受反击的模式本可引致普通用户在合作开发管线中,以权限提升的方式执行代码,窃取库房机密并可能篡改代码,“简言之,在易受反击的工作流中,任何GitHub 用户可创建构建纺织品的分叉,之后将该纺织品注入原始的库房构建业务流程中并修改其输出。这是另外一种形式的物流配送反击:构建输出遭普通用户修改。”
该安全漏洞可导致类似于CodeCov 遭受的恶意应用软件插入反击,随后该反击对上游客户导致影响,“缺乏跨工作流纺织品通信的原生 GitHub 实现,引致很多工程项目和 GitHub Actions 社区为跨工作流通信合作开发不安全可靠的解决方案,并使得这种威胁极其普遍。”
GitHub 证实该难题存在,并颁发赏金。Rust 修复了易受反击的管线。
该安全漏洞是影响应用软件物流配送的新一代安全可靠难题。行业和政府机构正不断增强开放源码应用软件和应用软件即服务的安全可靠性。
例如,2021年5月,美国总统拜登正式发布关于改进国家网络安全可靠的行政令,该联邦法规以及其它规定要求美国政府为所采购的应用软件设立基准安全可靠标准。在私营行业方面,谷歌和微软已投入数十亿美元提振开放源码生态系统的安全可靠性。这些开放源码生态系统为应用代码库平均贡献超过四分之三的代码。
该安全可靠难题属于难以找到的难题类型即逻辑难题。逻辑难题包括权限难题、将分叉库房插入管线的可能性以及所分叉和基准库房之间缺少差异性等。
由于应用软件工程项目在推送给维护人员前,通常会采用自动化脚本检查代码递交,因此在任何人工检查恶意软件之前都会自动运行pull请求。虽然自动化节约了时间,但它也正式成为普通用户将恶意软件插入管线的一种方法。
研究人员表示,“当你进行开放源码合作开发时,难题就更大了,因为你接受的时来自全球任何地方人员的贡献。你执行的是自己不信任的东西。”
GitHub 证实了该难题的存在,并扩展了阻止外部协作人员自动将代码插入Actions 管线的方式。该公司预览了GetArtifact 和 ListArtifacts APIs,旨在提供更多更多有助于判断纺织品是否值得信任的信息。
研究人员表示,“任何做了和Rust工程项目一样事情(即信任第三方输入)的人员,他们仍然易受反击。它是一个逻辑难题。GitHub 只是让人们更容易编写更安全可靠的脚本。”
代码卫士试用地址:https://codesafe.qianxin.com开放源码卫士试用地址:https://oss.qianxin.com在线写作版:《2022中国应用软件物流配送安全可靠预测报告》全文
在线写作版:《2021中国应用软件物流配送安全可靠预测报告》全文
美国“加强应用软件物流配送安全可靠实践的指南” (SSDF V1.1草案) 解读来了
速修复!这个轻微的 Apache Struts RCE 安全漏洞补丁不完整
Apache Cassandra 开放源码数据库应用软件修复高危RCE漏洞
美国国土安全可靠部:Log4j 安全漏洞的影响将持续十年或更久
Apache Log4j任意代码执行安全漏洞安全可靠信用风险通告第三次预览
PHP包管理器Composer模块 Packagist中存在安全漏洞,可引致应用软件物流配送反击
LofyGang 组织利用200个恶意NPM包下毒开放源码应用软件
美国政府正式发布关于“通过应用软件安全可靠合作开发实践增强应用软件物流配送安全可靠”的备忘录(全文)
OpenSSF正式发布4份开放源码应用软件安全可靠指南,涉及采用、合作开发、安全漏洞报告和包管理等环节
美国政府正式发布联邦机构应用软件安全可靠法规要求,进一步提振IT物流配送安全可靠
Apache开放源码工程项目 Xalan-J 整数截断可引致任意代码执行
谷歌面世开放源码应用软件安全漏洞奖励计划,提振应用软件物流配送安全可靠
Linux和谷歌联合面世安全可靠开放源码奖励计划,最高奖励1万美元或更多
开放源码web应用中存在三个XSS安全漏洞,可引致系统遭攻陷
开放源码应用软件 LibreOffice 修复多个与宏、密码等有关的安全漏洞
Juniper Networks修复200多个第三方模块安全漏洞
美国国土安全可靠部:Log4j 安全漏洞的影响将持续十年或更久
美国国土安全可靠部:Log4j 安全漏洞的影响将持续十年或更久
PyPI 库房中的恶意Python包将被盗AWS密钥发送至不安全可靠的站点
开放源码工程项目 Parse Server 出现轻微安全漏洞,影响苹果 Game Center
奇安信开放源码应用软件物流配送安全可靠技术应用方案获2022数博会“新技术”奖
热门PyPI 包 “ctx” 和 PHP库 “phpass” 长时间未预览遭劫持,用于窃取AWS密钥
趁机买走热门包唯一维护人员的邮件域名,我差点发动npm 应用软件物流配送反击
RubyGems 包管理器中存在轻微的 Gems 接管安全漏洞
《应用软件供应商手册:SBOM的生成和提供更多》解读
和GitHub 打官司?热门包 SheetJS出走npmjs.com转向自有CDN
不满当免费劳力,NPM 热门库 “colors” 和 “faker” 的作者设无限循环
NPM流行包再起波澜:维护人员对俄罗斯用户发特定消息,谁来保证开放源码可信?
200多个恶意NPM程序包特别针对Azure 合作开发人员,发动供应链反击
NPM 修复两个轻微安全漏洞但无法确认是否已遭在野利用,可促发开放源码应用软件物流配送反击
热门NPM库 “coa” 和“rc” 接连遭劫持,影响全球的 React 管线
速修复!热门npm 库 netmask 被曝轻微的应用软件物流配送安全漏洞,已存在9年
Pwn2Own大赛回顾:利用开放源码服务中的轻微安全漏洞,攻陷西部数据My Cloud PR4100
开放源码网站文本管理系统Micorweber存在XSS安全漏洞
热门开放源码后端应用软件Parse Server中存在轻微的 RCE ,CVSS评分10分
开放源码模块11年未预览,轻微安全漏洞使数百万安卓按设备易遭远程监控
原文链接:
https://www.darkreading.com/application-security/artifact-poisoning-github-actions-malware-software-pipelines
题图:Pixabay License
转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于应用软件合作开发安全可靠的产品线。
觉得不错,就点个 “在看” 或 “赞” 吧~
