דף הבית הודעות לעיתונות עסקים, מימון וכספים Legit Security גילתה סוג חדש של פגיעות בצינור הפיתוח: שפת התכנות Rust המבוססת על קוד פתוח נמצאה כפגיעה
Legit Security גילתה סוג חדש של פגיעות בצינור הפיתוח: שפת התכנות Rust המבוססת על קוד פתוח נמצאה כפגיעה
חיים נוי 09/12/22 |  צפיות: 671

Legit Security גילתה סוג חדש של פגיעות בצינור הפיתוח: שפת התכנות Rust המבוססת על קוד פתוח נמצאה כפגיעה

תל אביב, 8 בדצמבר 2022, (GLOBE NEWSWIRE) :

Legit Security , חברת אבטחת סייבר עם פלטפורמה ארגונית המגנה על שרשרת אספקת התוכנה של ארגונים מפני התקפה ומבטיחה אספקת יישומים מאובטחת, הודיעה היום כי גילתה סוג חדש של פגיעות שרשרת אספקת תוכנה הממנפת הרעלת פיסות תוכנה לתקיפת צינורות פיתוח התוכנה. הפגיעות נמצאה ב-GitHub Actions, פלטפורמה לסנכרון ומיכון של צינורות פיתוח תוכנה, והפגיעות זוהתה ב-Rust, שפת התכנות הזוכה לפופולריות רבה. פרויקטים רבים אחרים של GitHub Action נותרו פגיעים ובלוג חשיפה טכני, הכולל מידע להגנה על ארגונים מפני התקפה, זמין באתר האינטרנט של Legit Security.

פגיעות הצינור שהתגלתה עלולה לאפשר לכל משתמש GitHub להחליף פיסות פיתוח לגיטימיים בזדוניים, ולאפשר לתוקפים לשנות קוד מקור, לגנוב סודות וליצור התקפות שרשרת אספקה ​​רחבות היקף דמויות CodeCov. Rust, שפת תכנות פופולרית ביותר המשמשת מיליוני מפתחים, הכירה ותיקנה את הפגיעות לאחר החשיפה הראשונית של צוות מחקר האבטחה של Legit.

GitHub Actions היא חלק ממערכת ניהול קוד המקור GitHub הפופולרית ביותר שנמצאת בלב שרשרות אספקת התוכנה של ארגונים רבים, ומשמשת מפתחי תוכנה ברחבי העולם. הפגיעות משפיעה על מנגנון אחסון החפצים של GitHub Actions, המשמש לאחסון והעברת פיסות בנייה בין עבודות פיתוח תוכנה. בשל מגבלה במנגנון התקשורת של פיסות התוכנה שחוצות את תרחישי עבודה, תזרימי עבודה פגיעים אינם יכולים להבחין בין האלמנטים השונים הלגיטימיים של פרויקט לבין אלמנטים שנוצרו בגלל התפצלויות או יצירת העתקים בפרויקט, כך שכל מה יכול ליצור התפצלות, ולאחר מכן ליצור חפץ זדוני שההתייחסות אליו תהיה כאל לגיטימי.

"זהו סוג אחר של פגיעות שיכול להוביל להתקפות ושינויים בצנרת הפיתוח עצמה, ולא רק שינוי של הקוד", אמר ליאב כספי, מייסד שותף ומנהל טכנולוגיה ראשי בLegit Security. "אפשר לעשות אנלוגיה פשוטה לפס ייצור של מכוניות. זוהי התקפה על פס הייצור עצמו שעלולה לכלול גניבת חלקים רגישים, כיבוי שלבים מסוימים או החלפת חלק בר תוקף בחלק מקולקל. זהו וקטור התקפה רב עוצמה שמעניק לפושעי סייבר הרבה אפשרויות להסב נזק. במקרה זה, היעדים הפגיעים הם שרשראות אספקת תוכנה המשתמשות ב-GitHub Action".

צוות מחקר האבטחה של Legit חשף את בעיית האבטחה גם לצוות האבטחה של GitHub. זה הגיב בפשטות על ידי עדכון ממשק התכנות כך שיכלול מידע שעשוי לסייע במניעת הפגיעות הזו. יש לציין שב-GitHub לא התייחסו לשורש הבעיה, ובכך האתר הותיר פרויקטים רבים אחרים של GitHub Action חשופים למתקפת שרשרת האספקה הזו​​. בלוג הגילוי הטכני של Legit Security כולל מידע חשוב כיצד להגן על ארגונים מפני התקפה מסוג זה. מידע נוסף על שיטות עבודה מומלצות כלליות לאבטחת GitHub ניתן למצוא כאן.

אודות Legit Security

Legit Security מגינה על שרשרת אספקת התוכנה של הארגון מפני התקפה ומבטיחה אספקת יישומים מאובטחת, משילות וניהול סיכונים מהקוד עד לענן. מישור בקרת אבטחת האפליקציות האחוד בפלטפורמה, ויכולות הגילוי והניתוח האוטומטיות של SDLC מספקים נראות ובקרת אבטחה על סביבות משתנות במהירות, ומאפשרים לתעדף בעיות אבטחה בהתבסס על הקשרים ועל רמת הקריטיות העסקית כדי לשפר את יעילות צוותי האבטחה.

קשרי מדיה

Tony Keller

[email protected]

*** הידיעה מופצת בעולם על ידי חברת התקשורת הבינלאומית GLOBE NEWSWIRE


דירוג המאמר:

תגיות של המאמר:

 חיים נוי

חיים נוי, עיתונאי, עורך ראשי של סוכנות החדשות הבינ"ל IPA, לשעבר עורך ראשי של סוכנות הידיעות עתים, חבר תא מבקרי התיאטרון באגודת העיתונאים



 


מאמרים נוספים מאת חיים נוי
 
מחקר חדש של KnowBe4 מזהיר: סוכני בינה מלאכותית בלתי מפוקחים ודיפ-פייקים מתוחכמים מהווים איום חמור על ארגונים באיחוד האמירויות הערביות ובערב הסעודית
מחקר עולמי חושף כי 24% מהארגונים באיחוד האמירויות ובערב הסעודית כבר משתמשים בסוכני בינה מלאכותית אוטונומיים ללא פיקוח מספק, בעוד ש-52% מהעובדים מודים כי לא יצליחו, ככל הנראה, לזהות מתקפות מתוחכמות כמו דיפ-פייקים

Corpay Cross-Border נבחרה לשותפת המט"ח (FX) הגלובלית הרשמית של Fever
אספקת גישה לפתרונות ניהול סיכוני מטבע ותשלומים בינלאומיים

מדריך מישלן הראשון של ניו זילנד חושף שני כוכבי מישלן, 14 כוכב מישלן אחד ו-35 תוארי המלצות ברשימת ביב גורמה
מדריך מישלן הראשון של ניו זילנד 2026 הכיר ב-110 מסעדות ברחבי אוקלנד, וולינגטון, כרייסטצ'רץ' וקווינסטאון, וחגג איכות יוצאת דופן, יצירתיות ותחושה חזקה של מקום.

אנדרסן גלובל מעמיקה את יכולותיה בתחומי המס והניידות הגלובלית בגרמניה
חברת Andersen Global מחזקת את נוכחותה באמצעות הסכם שיתוף פעולה עם Lohr and Company (L+C) , פלטפורמת ייעוץ מס בהובלת מנהלים בכירים, המספקת פתרונות מעשיים ומהירים בתחומי ציות מס, מיסוי בינלאומי, ניידות גלובלית ומחירי העברה.

Steel Partners Holdings L.P.‎ שלחה מכתב לדירקטוריון InMode Ltd.‎ המעלה חששות חמורים בנוגע להצעת רכישה בהובלת המנכ"ל, אשר עלולה לפגוע בערך החברה
מזהירה את הדירקטוריון שלא לקבל את הצעת הרכישה הבעייתית מבחינת ניגודי עניינים, בסך 16.20 דולר למניה, אשר נמוכה משמעותית מהצעות בסך 18.00 דולר למניה ומעלה שנדחו בעבר.

Bitget משיקה את TradFi 101 כדי להכין את המשתמשים לעידן הבורסה האוניברסלית
Bitget , הבורסה האוניברסלית (UEX) הגדולה בעולם, השיקה את TradFi 101, יוזמה חינוכית לטווח אורך שנועדה לעזור למשתמשים קריפטוגרפים להבין שווקים פיננסיים מסורתיים, ולנווט בצומת ההולך וגדל בין נכסים דיגיטליים לשוק הפיננסים הגלובלי.

קבוצת EBC Financial Group והמחלקה לכלכלה של אוניברסיטת אוקספורד מחדשות את השותפות בנושא חינוך כלכלי ציבורי
שיתוף פעולה בן שלוש שנים להרחבת הגישה למחקר כלכלי באמצעות סדרת הוובינרים "מה כלכלנים באמת עושים"

CGTN: מהעם ולמען העם: מה מסמלת מדליית 1 ביולי
CGTN פרסמה מאמר הבוחן את הערכים המגולמים במדליית ה-1 ביולי. באמצעות סיפוריהם של המועמדים המומלצים לשנה זו, במאמר מודגש כיצד דורות של חברי המפלגה הקומוניסטית של סין (CPC) שמרו על קשר איתן עם העם, הקדישו את עצמם לשירות הציבור והמשיכו לשמר את הרוח המכוננת של המפלגה.

מדיסקה פותחת פרק חדש בהובלת המייסד אנטוניו דוס סנטוס
Medisca הודיעה היום כי המייסד ויו"ר החברה, אנטוניו דוס סנטוס, שב לתפקיד המנכ"ל עם כניסת החברה לפרק הצמיחה הבא שלה

ריסקיפייד מכריזה על צירוף רונן אסיה למועצת המנהלים של החברה
Riskified (NYSE: RSKD), מובילה עולמית בזיהוי הונאות במסחר האלקטרוני ובמודיעין סיכונים, הכריזה על צירוף רונן אסיה כדירקטור עצמאי למועצת המנהלים שלה. המינוי נכנס לתוקף ב-25 ביוני 2026.
     
 
שיווק באינטרנט על ידי WSI