דף הבית הודעות לעיתונות עסקים, מימון וכספים Legit Security גילתה סוג חדש של פגיעות בצינור הפיתוח: שפת התכנות Rust המבוססת על קוד פתוח נמצאה כפגיעה
Legit Security גילתה סוג חדש של פגיעות בצינור הפיתוח: שפת התכנות Rust המבוססת על קוד פתוח נמצאה כפגיעה
חיים נוי 09/12/22 |  צפיות: 695

Legit Security גילתה סוג חדש של פגיעות בצינור הפיתוח: שפת התכנות Rust המבוססת על קוד פתוח נמצאה כפגיעה

תל אביב, 8 בדצמבר 2022, (GLOBE NEWSWIRE) :

Legit Security , חברת אבטחת סייבר עם פלטפורמה ארגונית המגנה על שרשרת אספקת התוכנה של ארגונים מפני התקפה ומבטיחה אספקת יישומים מאובטחת, הודיעה היום כי גילתה סוג חדש של פגיעות שרשרת אספקת תוכנה הממנפת הרעלת פיסות תוכנה לתקיפת צינורות פיתוח התוכנה. הפגיעות נמצאה ב-GitHub Actions, פלטפורמה לסנכרון ומיכון של צינורות פיתוח תוכנה, והפגיעות זוהתה ב-Rust, שפת התכנות הזוכה לפופולריות רבה. פרויקטים רבים אחרים של GitHub Action נותרו פגיעים ובלוג חשיפה טכני, הכולל מידע להגנה על ארגונים מפני התקפה, זמין באתר האינטרנט של Legit Security.

פגיעות הצינור שהתגלתה עלולה לאפשר לכל משתמש GitHub להחליף פיסות פיתוח לגיטימיים בזדוניים, ולאפשר לתוקפים לשנות קוד מקור, לגנוב סודות וליצור התקפות שרשרת אספקה ​​רחבות היקף דמויות CodeCov. Rust, שפת תכנות פופולרית ביותר המשמשת מיליוני מפתחים, הכירה ותיקנה את הפגיעות לאחר החשיפה הראשונית של צוות מחקר האבטחה של Legit.

GitHub Actions היא חלק ממערכת ניהול קוד המקור GitHub הפופולרית ביותר שנמצאת בלב שרשרות אספקת התוכנה של ארגונים רבים, ומשמשת מפתחי תוכנה ברחבי העולם. הפגיעות משפיעה על מנגנון אחסון החפצים של GitHub Actions, המשמש לאחסון והעברת פיסות בנייה בין עבודות פיתוח תוכנה. בשל מגבלה במנגנון התקשורת של פיסות התוכנה שחוצות את תרחישי עבודה, תזרימי עבודה פגיעים אינם יכולים להבחין בין האלמנטים השונים הלגיטימיים של פרויקט לבין אלמנטים שנוצרו בגלל התפצלויות או יצירת העתקים בפרויקט, כך שכל מה יכול ליצור התפצלות, ולאחר מכן ליצור חפץ זדוני שההתייחסות אליו תהיה כאל לגיטימי.

"זהו סוג אחר של פגיעות שיכול להוביל להתקפות ושינויים בצנרת הפיתוח עצמה, ולא רק שינוי של הקוד", אמר ליאב כספי, מייסד שותף ומנהל טכנולוגיה ראשי בLegit Security. "אפשר לעשות אנלוגיה פשוטה לפס ייצור של מכוניות. זוהי התקפה על פס הייצור עצמו שעלולה לכלול גניבת חלקים רגישים, כיבוי שלבים מסוימים או החלפת חלק בר תוקף בחלק מקולקל. זהו וקטור התקפה רב עוצמה שמעניק לפושעי סייבר הרבה אפשרויות להסב נזק. במקרה זה, היעדים הפגיעים הם שרשראות אספקת תוכנה המשתמשות ב-GitHub Action".

צוות מחקר האבטחה של Legit חשף את בעיית האבטחה גם לצוות האבטחה של GitHub. זה הגיב בפשטות על ידי עדכון ממשק התכנות כך שיכלול מידע שעשוי לסייע במניעת הפגיעות הזו. יש לציין שב-GitHub לא התייחסו לשורש הבעיה, ובכך האתר הותיר פרויקטים רבים אחרים של GitHub Action חשופים למתקפת שרשרת האספקה הזו​​. בלוג הגילוי הטכני של Legit Security כולל מידע חשוב כיצד להגן על ארגונים מפני התקפה מסוג זה. מידע נוסף על שיטות עבודה מומלצות כלליות לאבטחת GitHub ניתן למצוא כאן.

אודות Legit Security

Legit Security מגינה על שרשרת אספקת התוכנה של הארגון מפני התקפה ומבטיחה אספקת יישומים מאובטחת, משילות וניהול סיכונים מהקוד עד לענן. מישור בקרת אבטחת האפליקציות האחוד בפלטפורמה, ויכולות הגילוי והניתוח האוטומטיות של SDLC מספקים נראות ובקרת אבטחה על סביבות משתנות במהירות, ומאפשרים לתעדף בעיות אבטחה בהתבסס על הקשרים ועל רמת הקריטיות העסקית כדי לשפר את יעילות צוותי האבטחה.

קשרי מדיה

Tony Keller

[email protected]

*** הידיעה מופצת בעולם על ידי חברת התקשורת הבינלאומית GLOBE NEWSWIRE


דירוג המאמר:

תגיות של המאמר:

 חיים נוי

חיים נוי, עיתונאי, עורך ראשי של סוכנות החדשות הבינ"ל IPA, לשעבר עורך ראשי של סוכנות הידיעות עתים, חבר תא מבקרי התיאטרון באגודת העיתונאים



 


מאמרים נוספים מאת חיים נוי
 
Andersen Consulting מצרפת את Smartbridge כחברה משתפת פעולה
Andersen Consulting הכריזה על הסכם שיתוף פעולה עם Smartbridge, חברת טכנולוגיות דיגיטליות ובינה מלאכותית מטקסס, במטרה להרחיב את יכולותיה בתחומי הדאטה והאנליטיקה והשירותים לטרנספורמציה דיגיטלית.

יוניבר סולושנס נכללה ברשימת החברות הירוקות ביותר בעולם לשנת 2026 של ניוזוויק
חברת Univar Solutions זוכה להכרה זו השנה השנייה ברציפות, הודות למחויבותה המתמשכת לאחריות סביבתית, מצוינות עסקית, אחריות חברתית ונהלי ממשל תאגידי איתנים.

WeRide מציגה את WITT, מודל בסיס קוגניטיבי מבוסס בינה מלאכותית פיזית שנבנה על סמך עובדות פיזיקליות אטומיות
המודל החדש הופך נתונים תפעוליים מהעולם האמיתי לעובדות מהימנות, ועובדות מהימנות לאותות למידה עבור מערכות בינה מלאכותית פיזית

ExaGrid הוכרה ברשימת MES Midmarket 100 היוקרתית לשנת 2026
®ExaGrid, ספקית אחסון הגיבוי העצמאית הגדולה בעולם, המספקת אחסון גיבוי רב-שכבתי עם האבטחה המקיפה ביותר ואחסון עם נעילת זמן מבוססת בינה מלאכותית לשחזור ממתקפות כופרה, הודיעה היום כי MES Computing, מותג של The Channel Company, כללה את ExaGrid ברשימת MES Midmarket 100 לשנת 2026.

Andersen Consulting מעמיקה את פתרונות הייעוץ שלה בטורקיה עם ODS Consulting Group
Andersen Consulting מתחילה בשיתוף פעולה עם הפירמה ODS Consulting Group, ובכך מרחיבה את הפלטפורמה שלה בתחומי הטרנספורמציה הדיגיטלית, אסטרטגיית טאלנטים ושירותי ייעוץ תפעולי.

ביקורת: שונאים , סיפור אהבה - חיים בין הצללים: עפ"י בשביס זינגר - יצירה מרטיטת לב – תיאטרון בית ליסין
16/07/26 | תיאטרון
ישנם מחזות שנדמה כי נכתבו בדם הלב, ו"שונאים, סיפור אהבה", העיבוד הבימתי המופתי העולה בתיאטרון בית ליסין, הוא בדיוק כזה. על בסיס ספרו המטלטל של חתן פרס נובל, יצחק בשביס זינגר, יצרה נועה לזר קינן מחזה מהודק ומרגש, שזכה לבימוי רגיש ומדויק להפליא של שיר גולדברג.

Presidio Investors מכריזה על מכירת ElevATE Semiconductor ל-Diodes Incorporated
המכירה לרוכשת האסטרטגית, אשר נסחרת בנאסד"ק, מהווה מימוש מוצלח של המימון ההמשכי של Presidio

דו"ח הונאות הטיסות הגלובלי לרבעון השני של Accertify מצא כי הלחץ מצד הונאות הולך ומתגבר ברחבי המזרח התיכון ואפריקה
ניתוח של כמעט 133 מיליון עסקאות הזמנת טיסות של חברות תעופה מצא כי הזמנות היוצאות מקהיר הציגו ברבעון זה את שיעור ההונאות הגבוה ביותר בעולם, בעוד שערי יציאה ברחבי ארצות הברית ואוסטרליה הציגו בין שיעורי ההונאה הנמוכים ביותר

Denodo Platform 9.5 מספקת לבינה מלאכותית הסוכנית הקשרים פעילים, כדי לפעול ביעילות ובאחריות
הגרסה האחרונה מחזקת את ההקשר הארגוני המהימן עבור בינה מלאכותית, אנליטיקה ושיתוף נתונים

ג'טקס משדרגת את אסטרטגיית האחריות התאגידית שלה ויוצאת לשותפות עם תוכנית המזון העולמית
Jetex משתפת פעולה עם תוכנית המזון העולמית (WFP) כדי לסייע בהעלאת המודעות לרעב העולמי ולהרחיב את ההזדמנויות לתרומות ופעילות צדקה ברחבי הרשת הבינלאומית שלה.
     
 
שיווק באינטרנט על ידי WSI