V posledních měsících zaznamenali vývojáři a bezpečnostní specialisté opakované incidenty, které ukazují na zranitelnosti v automatizovaných procesů nasazování a správy softwaru. Tyto incidenty často souvisejí s hacknutím populárních nástrojů a akcí na platformě GitHub, což má přímý dopad na integraci a kontinuální dodávku (CI/CD).
Útoky na automatizované pracovní procesy a jejich důsledky
V několika případech došlo k narušení autenticity a integrity klíčových akcí v rámci vývojových pipeline. Útočníci využívají zranitelnosti k převzetí kontroly nad knihovnami nebo akcemi, které jsou následně zneužívány k šíření škodlivého kódu nebo k odhalení citlivých dat. Například v jednom případě byla kompromitována akce, která spravuje dokumentaci projektu, a v jiném byla upravena hlavní verze vulnerability scanneru, což mohlo vést k neodhalení bezpečnostních zranitelností v produktech.
Vývoj a reakce vývojářské komunity
Po odhalení těchto incidentů se vývojáři a správci projektů snaží zvýšit úroveň zabezpečení svých prostředí. Patří sem například auditování workflow, zavádění vícefaktorové autentizace nebo přísnější kontroly nad spravovanými akcemi. Někteří správci také aktualizovali nebo dočasně pozastavili používání kompromitovaných verzí nástrojů, aby minimalizovali riziko zneužití.
Prevence a doporučené postupy pro bezpečnost CI/CD
Pro organizace je klíčové sledovat aktuální bezpečnostní hrozby a pravidelně kontrolovat integritu svých automatizačních procesů. Doporučuje se používat pouze ověřené a nezávisle auditované akce, aktualizovat závislosti na nejnovější verze a aktivně monitorovat jakékoliv neobvyklé aktivity v rámci svých repozitářů. Důležitá je také implementace bezpečnostních politik, které zabrání neoprávněnému zásahu do kritických částí CI/CD infrastruktury.
Zdroje:
- KICS GitHub Action Compromised: TeamPCP Strikes Again in Supply Chain Attack (wiz.io)
- Trivy Compromised a Second Time – Malicious v0.69.4 Release, aquasecurity/setup-trivy, aquasecurity/trivy-action GitHub Actions Compromised (StepSecurity)
- Trivy Security Scanner GitHub Actions Breached, 75 Tags Hijacked to Steal CI/CD Secrets (The Hacker News)
Buďte první! Přidejte komentář