取消选中风险设置选项
已经引入了更严格的控制来解决GitHub操作中的弱点,使得可以规避代码审查安全性。
来自安全启动内容安全性的omer Gil和同事发现,即使对于未启用最近介绍的组织,也存在代码Quide风险的代码旁路风险GitHub.操作功能。
吉尔先前告诉每日SWbeplay2018官网IG.:“要求审查是GitHub中最广泛使用的安全机制之一,因为默认情况下安装了GitHub操作,几乎任何组织都容易受到影响。”
GitHub操作 - GitHub的持续集成(CI)服务 - 提供一种从开发到生产系统的所有方式构建和运行软件开发工作流程的机制。
在一个博客帖子上媒介凭证安全解释了授权绕过缺陷如何使流氓开发人员或攻击者能够自我批准拉动请求,以将恶意软件打开到饲料生产软件的支流中。
攻击者只需要在尝试攻击之前损害单个用户帐户,这依赖于编辑工作流文件中的权限密钥。
Cider安全被清除了发布它漏洞去年10月,GitHub关闭漏洞前几周。
repo man
如在a中解释本周博客帖子,GitHub介绍了一个新的策略设置,允许系统管理员控制GitHub操作是否可以批准拉出请求。
“这可以防止用户使用操作来满足”所需的批准“分支保护要求,并合并另一个用户未审查的更改,”Github解释说。
“为了防止打破现有工作流,”允许Github操作审查默认支持所需批准“。但是,组织管理员可以在组织的操作设置下禁用它,“技术公司添加。
每日SWbeplay2018官网IG.邀请GitHub对此问题发表评论,但我们还没有听到回复。CideL安全性已更新其博客文章。
苹果酒安全说:“我们建议您使用这个新的设置来禁止恶意行为通过批准自己的拉出请求来绕过分支保护规则。”
“我们建议您使用这个新设置来禁止恶意行为通过批准自己的拉请求来绕过分支保护规则,”它结束。我们会在手中提供更多信息时更新此故事。
攻击最快的生产路径
苹果酒安全在研究小说时遇到了瑕疵CI / CD.攻击向量。
“GILUB报告后很快就支付了这个错误,”GIL告诉每日SWbeplay2018官网IG.。“他们的错误赏金计划很棒 - 他们快速回应。”
“GitHub接受了这个问题,但他们说这需要一些时间来缓解,所以他们可以同时披露它,”Gil补充道。
吉尔告诉每日SWbeplay2018官网IG.缺陷是一种整体行业的类型,可能会在将来更加焦点。
“今天的对手知道,通过CI / CD,生产最快的道路,他们利用它,”吉尔警告说。“这些地区的复杂的攻击路径和实际违规是经常看到的,我相信这将增加。”
