דף הבית הודעות לעיתונות עסקים, מימון וכספים Legit Security גילתה סוג חדש של פגיעות בצינור הפיתוח: שפת התכנות Rust המבוססת על קוד פתוח נמצאה כפגיעה
Legit Security גילתה סוג חדש של פגיעות בצינור הפיתוח: שפת התכנות Rust המבוססת על קוד פתוח נמצאה כפגיעה
חיים נוי 09/12/22 |  צפיות: 443

Legit Security גילתה סוג חדש של פגיעות בצינור הפיתוח: שפת התכנות Rust המבוססת על קוד פתוח נמצאה כפגיעה

תל אביב, 8 בדצמבר 2022, (GLOBE NEWSWIRE) :

Legit Security , חברת אבטחת סייבר עם פלטפורמה ארגונית המגנה על שרשרת אספקת התוכנה של ארגונים מפני התקפה ומבטיחה אספקת יישומים מאובטחת, הודיעה היום כי גילתה סוג חדש של פגיעות שרשרת אספקת תוכנה הממנפת הרעלת פיסות תוכנה לתקיפת צינורות פיתוח התוכנה. הפגיעות נמצאה ב-GitHub Actions, פלטפורמה לסנכרון ומיכון של צינורות פיתוח תוכנה, והפגיעות זוהתה ב-Rust, שפת התכנות הזוכה לפופולריות רבה. פרויקטים רבים אחרים של GitHub Action נותרו פגיעים ובלוג חשיפה טכני, הכולל מידע להגנה על ארגונים מפני התקפה, זמין באתר האינטרנט של Legit Security.

פגיעות הצינור שהתגלתה עלולה לאפשר לכל משתמש GitHub להחליף פיסות פיתוח לגיטימיים בזדוניים, ולאפשר לתוקפים לשנות קוד מקור, לגנוב סודות וליצור התקפות שרשרת אספקה ​​רחבות היקף דמויות CodeCov. Rust, שפת תכנות פופולרית ביותר המשמשת מיליוני מפתחים, הכירה ותיקנה את הפגיעות לאחר החשיפה הראשונית של צוות מחקר האבטחה של Legit.

GitHub Actions היא חלק ממערכת ניהול קוד המקור GitHub הפופולרית ביותר שנמצאת בלב שרשרות אספקת התוכנה של ארגונים רבים, ומשמשת מפתחי תוכנה ברחבי העולם. הפגיעות משפיעה על מנגנון אחסון החפצים של GitHub Actions, המשמש לאחסון והעברת פיסות בנייה בין עבודות פיתוח תוכנה. בשל מגבלה במנגנון התקשורת של פיסות התוכנה שחוצות את תרחישי עבודה, תזרימי עבודה פגיעים אינם יכולים להבחין בין האלמנטים השונים הלגיטימיים של פרויקט לבין אלמנטים שנוצרו בגלל התפצלויות או יצירת העתקים בפרויקט, כך שכל מה יכול ליצור התפצלות, ולאחר מכן ליצור חפץ זדוני שההתייחסות אליו תהיה כאל לגיטימי.

"זהו סוג אחר של פגיעות שיכול להוביל להתקפות ושינויים בצנרת הפיתוח עצמה, ולא רק שינוי של הקוד", אמר ליאב כספי, מייסד שותף ומנהל טכנולוגיה ראשי בLegit Security. "אפשר לעשות אנלוגיה פשוטה לפס ייצור של מכוניות. זוהי התקפה על פס הייצור עצמו שעלולה לכלול גניבת חלקים רגישים, כיבוי שלבים מסוימים או החלפת חלק בר תוקף בחלק מקולקל. זהו וקטור התקפה רב עוצמה שמעניק לפושעי סייבר הרבה אפשרויות להסב נזק. במקרה זה, היעדים הפגיעים הם שרשראות אספקת תוכנה המשתמשות ב-GitHub Action".

צוות מחקר האבטחה של Legit חשף את בעיית האבטחה גם לצוות האבטחה של GitHub. זה הגיב בפשטות על ידי עדכון ממשק התכנות כך שיכלול מידע שעשוי לסייע במניעת הפגיעות הזו. יש לציין שב-GitHub לא התייחסו לשורש הבעיה, ובכך האתר הותיר פרויקטים רבים אחרים של GitHub Action חשופים למתקפת שרשרת האספקה הזו​​. בלוג הגילוי הטכני של Legit Security כולל מידע חשוב כיצד להגן על ארגונים מפני התקפה מסוג זה. מידע נוסף על שיטות עבודה מומלצות כלליות לאבטחת GitHub ניתן למצוא כאן.

אודות Legit Security

Legit Security מגינה על שרשרת אספקת התוכנה של הארגון מפני התקפה ומבטיחה אספקת יישומים מאובטחת, משילות וניהול סיכונים מהקוד עד לענן. מישור בקרת אבטחת האפליקציות האחוד בפלטפורמה, ויכולות הגילוי והניתוח האוטומטיות של SDLC מספקים נראות ובקרת אבטחה על סביבות משתנות במהירות, ומאפשרים לתעדף בעיות אבטחה בהתבסס על הקשרים ועל רמת הקריטיות העסקית כדי לשפר את יעילות צוותי האבטחה.

קשרי מדיה

Tony Keller

[email protected]

*** הידיעה מופצת בעולם על ידי חברת התקשורת הבינלאומית GLOBE NEWSWIRE


דירוג המאמר:

תגיות של המאמר:

 חיים נוי

חיים נוי, עיתונאי, עורך ראשי של סוכנות החדשות הבינ"ל IPA, לשעבר עורך ראשי של סוכנות הידיעות עתים, חבר תא מבקרי התיאטרון באגודת העיתונאים



 


מאמרים נוספים מאת חיים נוי
 
Lantronix מחדשת את הקישוריות התעשייתית עם השקת סדרת הנתבים האלחוטיים תומכי 5G הזמיני ועטורי הפרסים שלה
סדרת NTC-500 החדשה של Lantronix מאפשרת לארגונים להשיג ניידות מהדור הבא, תובנות בזמן אמת והחזר ROI משופר

שותפות טרנס-אטלנטית חדשה עבור CCA אירופאי
18/07/25 | ספורט
General Atomics מכריזה על תוכניות לפיתוח בינלאומי מהיר של מטוסי קרב בלתי מאוישים

Andersen Consulting מוסיפה מומחיות בגישה אל השוק באמצעות Prime Action בברזיל
Andersen Consulting מחזקת את יכולותיה באמריקה הלטינית באמצעות שיתוף פעולה עם Prime Action Consulting, חברה המתמחה באסטרטגיית גישת שוק ובניהול ערוצים בענפי הרכב, החקלאות, הבנקאות, התרופות והטלקומוניקציה.

ExaGrid מקבלת הכרה ומצטרפת לרשימת 2025 MES Midmarket 100 היוקרתית
הרשימה כוללת ספקי טכנולוגיה שתומכים בצמיחה, בחדשנות ובהצלחה

Bitget מצטרפת ל-Global Markets Alliance של Ondo כדי להרחיב את הגישה הגלובלית ליותר ממאה RWA שהומרו לאסימונים
Bitget, בורסת המטבעות הקריפטוגרפים המובילה וחברת Web3, הצטרפה באופן רשמי ל-Global Markets Alliance (ברית השווקים הגלובליים), יוזמה שיתופית שנועדה ליישר קו בין סטנדרטים בתעשייה ולקדם יכולת פעולה הדדית עבור אסימונים המבוססים על ניירות ערך של Ondo Finance.

צוות אווירי בלגי השלים אימון ב-MQ-9B
ההכשרה בהטסת ה- MQ-9B SkyGuardian® של GA-ASI נערכה במספר אתרים, כולל מרכז ניסויי והכשרות הטיסה ודזרט הורייזון

ההדגמה האחרונה של המטוס האוטונומי של GA כללה יכולת קרב אוויר-אוויר בזמן אמת
משימות אוטונומיות עם TacACE ו-Optix.C2 הציגו בגרות ומוכנות מבצעית

מחקר בהיקף גדול של Statens Serum Institut לא העלה קשר בין חיסונים לאוטיזם או ל-49 בעיות בריאותיות נוספות
מחקר חדש שנערך בדנמרק אינו מוצא קשר בין אלומיניום הנמצא בחיסוני ילדים לבין 50 בעיות בריאות שונות כולל אוטיזם, אסטמה ומחלות אוטואימוניות. הממצאים מאששים את בטיחותה של תוכנית החיסונים לילדים בדנמרק.

מנהל התפעול של Bitget ערך סיורים סיורים ב-UCLA, הרווארד ובית הספר לעסקים של LALIGA, במטרה להאיץ את חינוך הבלוקצ'יין
Bitget, בורסת המטבעות הקריפטוגרפים המובילה וחברת Web3, עושה צעדים נועזים במרחב האקדמי, ומשלבת חינוך בלוקצ'יין עם אסטרטגיית מותג בעולם האמיתי.

Bitget רשמה את RCADE Network (RCADE) למסחר בספוט עם 124,440,000 אסימונים כתגמולים
Bitget, בורסת המטבעות הקריפטוגרפים המובילה וחברת Web3, הודיעה על הרישום של RCADE Network (RCADE) למסחר בספוט. בנוסף לזמינות עבור מסחר בספוט, Bitget תשיק גם קמפיין תגמולים בלעדי ב-Launchpool וקמפיין CandyBomb. RCADE מאפשרת כלכלת משחקים מבוזרת המונעת בידי הקהילה, תורמים וגיימרים.
     
 
שיווק באינטרנט על ידי WSI