Yazmadığın koda güvenme
Yazılım projeleri, GitHub Actions aracılığıyla indirilen güvensiz derlemeler nedeniyle tedarik zinciri güvenlik riskiyle karşı karşıyadır.
Siber güvenlik araştırmacıları, GitHub Actions platformunda, saldırganların yazılım projelerine kötü amaçlı kod ekleyerek bir tedarik zinciri saldırısı başlatmasına olanak sağlayabilecek riskler belirledi.
Kodların GitHub Actions platformu tarafından saklanma şekli, saldırganların bu modülleri indirirken yeterli filtreleme (CI/CD – sürekli entegrasyon ve sürekli teslim) yapmayan iş akışlarıyla yazılım projelerine kötü amaçlı kod eklemesine olanak sağlayabilir. Araştırmacılar, savunmasız binlerce havuz tarafından kullanılan indirme betiklerinin iyi bilinen birkaç parçasını belirlediler. Eser zehirlenmesi olarak tanımlanan büyük bir risk konusunda uyarıda bulundular. Artefakt zehirlenmesinde, saldırganlar yasal bir yapıyı kötü hedeflenmiş kodla değiştirerek bir tedarik zinciri saldırısı başlatabilir.
ESET Türkiye Teknik Müdürü Gürcan ŞenChannelasia.tech ayrıca bahisle ilgili şu açıklamayı yaptı: “Tedarik zinciri saldırıları genellikle o kadar hızlıdır ki, saldırganlar kurban rastgele bir şey olduğunun farkına bile varmadan içeri girip çıkabilirler. Yapay zehirlenmede, saldırganlar yasal kodu kendi kodlarıyla değiştirir. Berbat amaca yönelik kod, Başka biri tarafından incelenmiş olabileceğine inanıldığı için sorun büyütülür. Kod denetlenmez, bu nedenle tedarik zinciri boyunca fark edilmez. GitHub tüm dünyada kullanılır ve varsayılan bir koruma düzeyine sahiptir. Ancak bu, kodun her zaman kötü amaçlı içerikten arınmış olacağı anlamına gelmez veya bu sorun ilk kez ortaya çıkıyor Bu nedenle, iş akışlarının sadık kalması için daha sıkı filtreleme ile güncellenmesi gerekir. tutarsızlıkları hızlı bir şekilde tespit etme. Platformda uyanık ve dikkatli olmak genellikle en iyi koruma tekniğidir. Geliştiriciler hiçbir koda, özellikle de yazmadıkları koda asla güvenmemelidir.”
Kaynak: (BYZHA) – Beyaz Haber Ajansı