דף הבית הודעות לעיתונות עסקים, מימון וכספים Legit Security גילתה סוג חדש של פגיעות בצינור הפיתוח: שפת התכנות Rust המבוססת על קוד פתוח נמצאה כפגיעה
Legit Security גילתה סוג חדש של פגיעות בצינור הפיתוח: שפת התכנות Rust המבוססת על קוד פתוח נמצאה כפגיעה
חיים נוי 09/12/22 |  צפיות: 693

Legit Security גילתה סוג חדש של פגיעות בצינור הפיתוח: שפת התכנות Rust המבוססת על קוד פתוח נמצאה כפגיעה

תל אביב, 8 בדצמבר 2022, (GLOBE NEWSWIRE) :

Legit Security , חברת אבטחת סייבר עם פלטפורמה ארגונית המגנה על שרשרת אספקת התוכנה של ארגונים מפני התקפה ומבטיחה אספקת יישומים מאובטחת, הודיעה היום כי גילתה סוג חדש של פגיעות שרשרת אספקת תוכנה הממנפת הרעלת פיסות תוכנה לתקיפת צינורות פיתוח התוכנה. הפגיעות נמצאה ב-GitHub Actions, פלטפורמה לסנכרון ומיכון של צינורות פיתוח תוכנה, והפגיעות זוהתה ב-Rust, שפת התכנות הזוכה לפופולריות רבה. פרויקטים רבים אחרים של GitHub Action נותרו פגיעים ובלוג חשיפה טכני, הכולל מידע להגנה על ארגונים מפני התקפה, זמין באתר האינטרנט של Legit Security.

פגיעות הצינור שהתגלתה עלולה לאפשר לכל משתמש GitHub להחליף פיסות פיתוח לגיטימיים בזדוניים, ולאפשר לתוקפים לשנות קוד מקור, לגנוב סודות וליצור התקפות שרשרת אספקה ​​רחבות היקף דמויות CodeCov. Rust, שפת תכנות פופולרית ביותר המשמשת מיליוני מפתחים, הכירה ותיקנה את הפגיעות לאחר החשיפה הראשונית של צוות מחקר האבטחה של Legit.

GitHub Actions היא חלק ממערכת ניהול קוד המקור GitHub הפופולרית ביותר שנמצאת בלב שרשרות אספקת התוכנה של ארגונים רבים, ומשמשת מפתחי תוכנה ברחבי העולם. הפגיעות משפיעה על מנגנון אחסון החפצים של GitHub Actions, המשמש לאחסון והעברת פיסות בנייה בין עבודות פיתוח תוכנה. בשל מגבלה במנגנון התקשורת של פיסות התוכנה שחוצות את תרחישי עבודה, תזרימי עבודה פגיעים אינם יכולים להבחין בין האלמנטים השונים הלגיטימיים של פרויקט לבין אלמנטים שנוצרו בגלל התפצלויות או יצירת העתקים בפרויקט, כך שכל מה יכול ליצור התפצלות, ולאחר מכן ליצור חפץ זדוני שההתייחסות אליו תהיה כאל לגיטימי.

"זהו סוג אחר של פגיעות שיכול להוביל להתקפות ושינויים בצנרת הפיתוח עצמה, ולא רק שינוי של הקוד", אמר ליאב כספי, מייסד שותף ומנהל טכנולוגיה ראשי בLegit Security. "אפשר לעשות אנלוגיה פשוטה לפס ייצור של מכוניות. זוהי התקפה על פס הייצור עצמו שעלולה לכלול גניבת חלקים רגישים, כיבוי שלבים מסוימים או החלפת חלק בר תוקף בחלק מקולקל. זהו וקטור התקפה רב עוצמה שמעניק לפושעי סייבר הרבה אפשרויות להסב נזק. במקרה זה, היעדים הפגיעים הם שרשראות אספקת תוכנה המשתמשות ב-GitHub Action".

צוות מחקר האבטחה של Legit חשף את בעיית האבטחה גם לצוות האבטחה של GitHub. זה הגיב בפשטות על ידי עדכון ממשק התכנות כך שיכלול מידע שעשוי לסייע במניעת הפגיעות הזו. יש לציין שב-GitHub לא התייחסו לשורש הבעיה, ובכך האתר הותיר פרויקטים רבים אחרים של GitHub Action חשופים למתקפת שרשרת האספקה הזו​​. בלוג הגילוי הטכני של Legit Security כולל מידע חשוב כיצד להגן על ארגונים מפני התקפה מסוג זה. מידע נוסף על שיטות עבודה מומלצות כלליות לאבטחת GitHub ניתן למצוא כאן.

אודות Legit Security

Legit Security מגינה על שרשרת אספקת התוכנה של הארגון מפני התקפה ומבטיחה אספקת יישומים מאובטחת, משילות וניהול סיכונים מהקוד עד לענן. מישור בקרת אבטחת האפליקציות האחוד בפלטפורמה, ויכולות הגילוי והניתוח האוטומטיות של SDLC מספקים נראות ובקרת אבטחה על סביבות משתנות במהירות, ומאפשרים לתעדף בעיות אבטחה בהתבסס על הקשרים ועל רמת הקריטיות העסקית כדי לשפר את יעילות צוותי האבטחה.

קשרי מדיה

Tony Keller

[email protected]

*** הידיעה מופצת בעולם על ידי חברת התקשורת הבינלאומית GLOBE NEWSWIRE


דירוג המאמר:

תגיות של המאמר:

 חיים נוי

חיים נוי, עיתונאי, עורך ראשי של סוכנות החדשות הבינ"ל IPA, לשעבר עורך ראשי של סוכנות הידיעות עתים, חבר תא מבקרי התיאטרון באגודת העיתונאים



 


מאמרים נוספים מאת חיים נוי
 
Andersen Consulting מעמיקה את פתרונות הייעוץ שלה בטורקיה עם ODS Consulting Group
Andersen Consulting מתחילה בשיתוף פעולה עם הפירמה ODS Consulting Group, ובכך מרחיבה את הפלטפורמה שלה בתחומי הטרנספורמציה הדיגיטלית, אסטרטגיית טאלנטים ושירותי ייעוץ תפעולי.

ביקורת: שונאים , סיפור אהבה - חיים בין הצללים: עפ"י בשביס זינגר - יצירה מרטיטת לב – תיאטרון בית ליסין
16/07/26 | תיאטרון
ישנם מחזות שנדמה כי נכתבו בדם הלב, ו"שונאים, סיפור אהבה", העיבוד הבימתי המופתי העולה בתיאטרון בית ליסין, הוא בדיוק כזה. על בסיס ספרו המטלטל של חתן פרס נובל, יצחק בשביס זינגר, יצרה נועה לזר קינן מחזה מהודק ומרגש, שזכה לבימוי רגיש ומדויק להפליא של שיר גולדברג.

Presidio Investors מכריזה על מכירת ElevATE Semiconductor ל-Diodes Incorporated
המכירה לרוכשת האסטרטגית, אשר נסחרת בנאסד"ק, מהווה מימוש מוצלח של המימון ההמשכי של Presidio

דו"ח הונאות הטיסות הגלובלי לרבעון השני של Accertify מצא כי הלחץ מצד הונאות הולך ומתגבר ברחבי המזרח התיכון ואפריקה
ניתוח של כמעט 133 מיליון עסקאות הזמנת טיסות של חברות תעופה מצא כי הזמנות היוצאות מקהיר הציגו ברבעון זה את שיעור ההונאות הגבוה ביותר בעולם, בעוד שערי יציאה ברחבי ארצות הברית ואוסטרליה הציגו בין שיעורי ההונאה הנמוכים ביותר

Denodo Platform 9.5 מספקת לבינה מלאכותית הסוכנית הקשרים פעילים, כדי לפעול ביעילות ובאחריות
הגרסה האחרונה מחזקת את ההקשר הארגוני המהימן עבור בינה מלאכותית, אנליטיקה ושיתוף נתונים

ג'טקס משדרגת את אסטרטגיית האחריות התאגידית שלה ויוצאת לשותפות עם תוכנית המזון העולמית
Jetex משתפת פעולה עם תוכנית המזון העולמית (WFP) כדי לסייע בהעלאת המודעות לרעב העולמי ולהרחיב את ההזדמנויות לתרומות ופעילות צדקה ברחבי הרשת הבינלאומית שלה.

RealPage רוכשת את Cherre ויוצרת פלטפורמת מודיעין אמינה מבוססת בינה מלאכותית לאורך כל שרשרת ההון בתחום הנדל"ן
השילוב מחבר בין תפעול ברמת הנכס לבין מודיעין ברמת תיקי השקעות מוסדיים, ומעניק לבעלים ולמפעילים תשתית מבוקרת ואמינה לקבלת החלטות טובות יותר ולשיפור הביצועים.

Telnyx משיקה תשתית מעבדים גרפיים ריבונית בדובאי, מעבדת ומאחסנת נתונים מ-MENA באזור עצמו
תשתית היסק עבור סוכנים שפועלים אמת פעילה כעת באיחוד האמירויות הערביות. לקוחות Telnyx יכולים להריץ היסק על גבי GPU שבבעלותם בתוך המדינה, כך שנתוני הארגון מאוחסנים ומעובדים מבלי לצאת מהאזור.

U.S. Polo Assn. חזרה לטורניר ה-DMMI Royal Charity Polo Cup לשנת 2026 כנותנת החסות הרשמית לביגוד ולנבחרות.
המותג הגלובלי תומך באירוע הפולו הפילנתרופי של נסיך ויילס, ומגייס מעל מיליון ליש"ט

ביקורת: בין קודש לחול, בין ייאוש לתקווה: "פליישר" בבית צבי - יצירת מופת נוקבת
14/07/26 | תיאטרון
ישנן הצגות שנכנסות לאולם ומעוררות סקרנות, וישנן הצגות שמכות בך בבטן הרכה מהדקה הראשונה ועד לירידת המסך. "פליישר", המחזה האיקוני של יגאל אבן-אור ז"ל, שעולה בימים אלה בבית צבי ברמת גן, שייך ללא ספק לסוג השני
     
 
שיווק באינטרנט על ידי WSI