דף הבית הודעות לעיתונות עסקים, מימון וכספים Legit Security גילתה סוג חדש של פגיעות בצינור הפיתוח: שפת התכנות Rust המבוססת על קוד פתוח נמצאה כפגיעה
Legit Security גילתה סוג חדש של פגיעות בצינור הפיתוח: שפת התכנות Rust המבוססת על קוד פתוח נמצאה כפגיעה
חיים נוי 09/12/22 |  צפיות: 690

Legit Security גילתה סוג חדש של פגיעות בצינור הפיתוח: שפת התכנות Rust המבוססת על קוד פתוח נמצאה כפגיעה

תל אביב, 8 בדצמבר 2022, (GLOBE NEWSWIRE) :

Legit Security , חברת אבטחת סייבר עם פלטפורמה ארגונית המגנה על שרשרת אספקת התוכנה של ארגונים מפני התקפה ומבטיחה אספקת יישומים מאובטחת, הודיעה היום כי גילתה סוג חדש של פגיעות שרשרת אספקת תוכנה הממנפת הרעלת פיסות תוכנה לתקיפת צינורות פיתוח התוכנה. הפגיעות נמצאה ב-GitHub Actions, פלטפורמה לסנכרון ומיכון של צינורות פיתוח תוכנה, והפגיעות זוהתה ב-Rust, שפת התכנות הזוכה לפופולריות רבה. פרויקטים רבים אחרים של GitHub Action נותרו פגיעים ובלוג חשיפה טכני, הכולל מידע להגנה על ארגונים מפני התקפה, זמין באתר האינטרנט של Legit Security.

פגיעות הצינור שהתגלתה עלולה לאפשר לכל משתמש GitHub להחליף פיסות פיתוח לגיטימיים בזדוניים, ולאפשר לתוקפים לשנות קוד מקור, לגנוב סודות וליצור התקפות שרשרת אספקה ​​רחבות היקף דמויות CodeCov. Rust, שפת תכנות פופולרית ביותר המשמשת מיליוני מפתחים, הכירה ותיקנה את הפגיעות לאחר החשיפה הראשונית של צוות מחקר האבטחה של Legit.

GitHub Actions היא חלק ממערכת ניהול קוד המקור GitHub הפופולרית ביותר שנמצאת בלב שרשרות אספקת התוכנה של ארגונים רבים, ומשמשת מפתחי תוכנה ברחבי העולם. הפגיעות משפיעה על מנגנון אחסון החפצים של GitHub Actions, המשמש לאחסון והעברת פיסות בנייה בין עבודות פיתוח תוכנה. בשל מגבלה במנגנון התקשורת של פיסות התוכנה שחוצות את תרחישי עבודה, תזרימי עבודה פגיעים אינם יכולים להבחין בין האלמנטים השונים הלגיטימיים של פרויקט לבין אלמנטים שנוצרו בגלל התפצלויות או יצירת העתקים בפרויקט, כך שכל מה יכול ליצור התפצלות, ולאחר מכן ליצור חפץ זדוני שההתייחסות אליו תהיה כאל לגיטימי.

"זהו סוג אחר של פגיעות שיכול להוביל להתקפות ושינויים בצנרת הפיתוח עצמה, ולא רק שינוי של הקוד", אמר ליאב כספי, מייסד שותף ומנהל טכנולוגיה ראשי בLegit Security. "אפשר לעשות אנלוגיה פשוטה לפס ייצור של מכוניות. זוהי התקפה על פס הייצור עצמו שעלולה לכלול גניבת חלקים רגישים, כיבוי שלבים מסוימים או החלפת חלק בר תוקף בחלק מקולקל. זהו וקטור התקפה רב עוצמה שמעניק לפושעי סייבר הרבה אפשרויות להסב נזק. במקרה זה, היעדים הפגיעים הם שרשראות אספקת תוכנה המשתמשות ב-GitHub Action".

צוות מחקר האבטחה של Legit חשף את בעיית האבטחה גם לצוות האבטחה של GitHub. זה הגיב בפשטות על ידי עדכון ממשק התכנות כך שיכלול מידע שעשוי לסייע במניעת הפגיעות הזו. יש לציין שב-GitHub לא התייחסו לשורש הבעיה, ובכך האתר הותיר פרויקטים רבים אחרים של GitHub Action חשופים למתקפת שרשרת האספקה הזו​​. בלוג הגילוי הטכני של Legit Security כולל מידע חשוב כיצד להגן על ארגונים מפני התקפה מסוג זה. מידע נוסף על שיטות עבודה מומלצות כלליות לאבטחת GitHub ניתן למצוא כאן.

אודות Legit Security

Legit Security מגינה על שרשרת אספקת התוכנה של הארגון מפני התקפה ומבטיחה אספקת יישומים מאובטחת, משילות וניהול סיכונים מהקוד עד לענן. מישור בקרת אבטחת האפליקציות האחוד בפלטפורמה, ויכולות הגילוי והניתוח האוטומטיות של SDLC מספקים נראות ובקרת אבטחה על סביבות משתנות במהירות, ומאפשרים לתעדף בעיות אבטחה בהתבסס על הקשרים ועל רמת הקריטיות העסקית כדי לשפר את יעילות צוותי האבטחה.

קשרי מדיה

Tony Keller

[email protected]

*** הידיעה מופצת בעולם על ידי חברת התקשורת הבינלאומית GLOBE NEWSWIRE


דירוג המאמר:

תגיות של המאמר:

 חיים נוי

חיים נוי, עיתונאי, עורך ראשי של סוכנות החדשות הבינ"ל IPA, לשעבר עורך ראשי של סוכנות הידיעות עתים, חבר תא מבקרי התיאטרון באגודת העיתונאים



 


מאמרים נוספים מאת חיים נוי
 
U.S. Polo Assn. חזרה לטורניר ה-DMMI Royal Charity Polo Cup לשנת 2026 כנותנת החסות הרשמית לביגוד ולנבחרות.
המותג הגלובלי תומך באירוע הפולו הפילנתרופי של נסיך ויילס, ומגייס מעל מיליון ליש"ט

ביקורת: בין קודש לחול, בין ייאוש לתקווה: "פליישר" בבית צבי - יצירת מופת נוקבת
14/07/26 | תיאטרון
ישנן הצגות שנכנסות לאולם ומעוררות סקרנות, וישנן הצגות שמכות בך בבטן הרכה מהדקה הראשונה ועד לירידת המסך. "פליישר", המחזה האיקוני של יגאל אבן-אור ז"ל, שעולה בימים אלה בבית צבי ברמת גן, שייך ללא ספק לסוג השני

ג'טקס ג'קרטה: ג'טקס מכריזה על כניסתה לשוק התעופה של אינדונזיה
Jetex, המותג המוביל בעולם בתחום התעופה הפרטית, חתמה על הסכם להרחבת פעילותה לאינדונזיה – צעד המהווה אבן דרך חשובה בהמשך הצמיחה של החברה באזור אסיה-פסיפיק.

QualityKiosk מאיצה את חזון האמינות של בינה מלאכותית עם מינויים אסטרטגיים להנהלה
QualityKiosk ממנה את צ'יטרה רמסוואמי לתפקיד מנהלת בכירת - חדשנות וטכנולוגיה; את רבישנקר גופאלאן לתפקיד מנהל תפעול ראשי ואת סאיראם ודאם לתפקיד מנהל שיווק ראשי

The Rock-It Company מתרחבת ומגיעה לדובאי, מחזקת את מיצוב ההון כמוקד גלובלי ליוקרה, לתרבות ולאירועים מרכזיים
The Rock-It Company ‏(Rock-It), אחת הספקיות המובילות בעולם ללוגיסטיקת מומחים במגזרים עם ערך גבוה וחשיבות קריטית לזמנים באירועים חיים ומוצרי יוקרה, הרחיבה את נוכחותה באיחוד האמירויות לאבו דאבי, בשותפות עם משרד ההשקעות של אבו דאבי (ADIO).

Russell Investments מודיעה על בעלים חדשים לטווח ארוך
קונסורציום משקיעים בהובלת B Capital, הכולל גם את CalPERS, יעמיד הון לטווח ארוך שיאפשר ל-Russell Investments להרחיב את השירותים והיכולות המוצעים ללקוחותיה ולהאיץ את תהליכי החדשנות

רוזן, משרד עורכי דין ותיק, מעודדים את משקיעי Nano-X Imaging Ltd לקבל ייעוץ
רוזן, משרד עורכי דין ותיק, מעודדים את משקיעי Nano-X Imaging Ltd לקבל ייעוץ משפטי לפני מועד אחרון חשוב בתביעה ייצוגית לניירות ערך – NNOX

הודעת מועד אחרון לתביעה ייצוגית נגד LCID
הודעת מועד אחרון לתביעה ייצוגית נגד LCID: רוזן, יועץ למשקיעים מהימן, מעודד את משקיעי Lucid Group, Inc עם הפסדים של מעל 100,000 דולר לקבל ייעוץ משפטי לפני המועד האחרון החשוב בתביעה ייצוגית לניירות ערך - LCID

רוזן, עורך דין מוביל בתחום המשפט, מעודד את משקיעי מיקרוסופט לקבל ייעוץ
רוזן, עורך דין מוביל בתחום המשפט, מעודד את משקיעי מיקרוסופט לקבל ייעוץ משפטי לפני המועד האחרון החשוב בתביעה ייצוגית לניירות ערך – MSFT

חדשות למשקיעים ב- GIL:
חדשות למשקיעים ב- GIL: אם סבלתם הפסדים ב- Gildan Activewear Inc. (NYSE: GIL), אתם מוזמנים ליצור קשר עם משרד רוזן עורכי הדין בנוגע לזכויותיכם
     
 
שיווק באינטרנט על ידי WSI