InfoQ
·
被篡改的GitHub Action凸显CI/CD供应链中的风险
💡
原文英文,约600词,阅读约需3分钟。
📝
内容提要
最近,tj-actions/changed-files GitHub Action被新维护者篡改,发布了含恶意代码的版本,暴露了开源Actions的安全漏洞。这一事件引发了开发者对CI/CD安全的关注,强调了Actions供应链的风险。建议采取固定版本、第三方审计和加强运行环境等最佳实践,以防止类似攻击。
🎯
关键要点
- tj-actions/changed-files GitHub Action被新维护者篡改,发布了含恶意代码的版本。
- 这一事件暴露了开源Actions的安全漏洞,引发了开发者对CI/CD安全的关注。
- 攻击面扩展到Actions的供应链,开发者对导入的Actions的安全性缺乏审查。
- 恶意版本包含混淆的shell命令,能够进行远程代码执行,暴露了开发者对GitHub Actions的信任盲点。
- 用户发现新版本包含可疑的curl | bash模式,StepSecurity确认其能够窃取敏感数据。
- 事件促使广泛的审计和临时工作流暂停,影响了多个项目。
- tj-actions/changed-files Action的流行性和生态系统的脆弱性引发了关注。
- 安全研究人员建议将所有第三方Actions固定到特定的SHA,以确保可重现性和防止篡改。
- 建议加强GitHub托管的运行环境,限制出站网络访问,严格环境变量范围,减少不必要的权限。
- 事件引发了关于CI/CD供应链安全的更广泛讨论,开发者论坛上提出了担忧。
- GitHub Actions运行权限高,能够签署发布、推送镜像或部署到生产,受损的Action可能会颠覆整个交付管道。
- 行业正在通过SLSA、Sigstore和SBOM工具等倡议取得进展,但GitHub Actions仍缺乏对可重用Actions的来源、沙箱和信任执行的支持。
- 一些工程团队开始正式化评估和采用第三方自动化工具的方式,定义内部标准并进行审查。
❓
延伸问答
tj-actions/changed-files GitHub Action是如何被篡改的?
tj-actions/changed-files GitHub Action被新维护者篡改,发布了含有混淆恶意代码的版本。
这次事件对CI/CD安全有什么影响?
事件引发了开发者对CI/CD安全的关注,强调了Actions供应链的风险。
开发者应该如何防范类似的安全风险?
建议采取固定版本、第三方审计和加强运行环境等最佳实践,以防止类似攻击。
恶意版本的tj-actions/changed-files Action具体做了什么?
恶意版本包含混淆的shell命令,能够进行远程代码执行,窃取敏感数据。
开发者对GitHub Actions的信任盲点是什么?
开发者对导入的Actions的安全性缺乏审查,容易信任不明来源的Actions。
行业在CI/CD供应链安全方面有哪些进展?
行业正在通过SLSA、Sigstore和SBOM工具等倡议取得进展,但GitHub Actions仍缺乏对可重用Actions的支持。
➡️
