Yazmadığın koda güvenme

Mr.T

Administrator
Yetkili
Admin
Yazılım projeleri GitHub Actions üzerinden indirilen inançsız yapılar niçiniyle tedarik zinciri güvenliği riskiyle karşı karşıya


Siber güvenlik araştırmacıları GitHub Actions platformunda, saldırganların yazılım projelerine berbat gayeli kod ekleyerek bir tedarik zinciri saldırısı başlatmalarını sağlayabilecek riskler belirlediler.


Kodların GitHub Actions platformu tarafınca depolanma hali, saldırganların bu kesimleri indirirken kâfi filtreleme gerçekleştirmeyen (CI/CD – daima tümleştirme ve daima teslim) iş akışlarıyla yazılım projelerine makus gayeli kod eklemesine imkan tanıyabiliyor. Araştırmacılar, savunmasız binlerce depo tarafınca kullanılan, birkaç tanınan kod parçacığı indirme komut evrakı tespit ettiler. Artefact zehirlenmesi olarak tanımlanan büyük bir risk ile ilgili ihtarlarda bulundular. Artefact zehirlenmesinde saldırganlar legal bir yapıyı berbat emelli bir kodla değiştirerek tedarik zinciri saldırısı başlatabiliyorlar.

ESET Türkiye Teknik Müdürü Gürcan Şen channelasia.tech’de de yer alan bahis ile ilgili şu açıklamada bulundu:”Tedarik zinciri atakları ekseriyetle o kadar süratlidir ki, kurban rastgele bir şeyin gerçekleştiğinin farkında bile olamadan saldırganlar içeri girip çıkabilirler. Saldırganların yasal kodu kendi makûs gayeli kodlarıyla değiştirdiği artefact zehirlenmesinde, kodun öteki biri tarafınca gözden geçirilmiş olabileceğine inanıldığı için sorun büyüyor. Kod denetim edilmediğinden dolayı bir tedarik zinciri boyunca farkedilmiyor. GitHub tüm dünyada kullanılıyor ve var iseyılan bir müdafaa düzeyi bulunuyor. Lakin bu, kodun her vakit makûs niyetli içerikten pak olacağı manasına yahut bu sorunun birinci kez oluştuğu manasına gelmiyor. Bu niçinle, inançta kalmak için iş akışlarını daha sıkı filtreleme ile güncellenmesi gerekiyor. Hash bedelleri, tutarsızlıkları süratli bir biçimde tespit edebilme konusunda kullanıcıya yarar sağlayabilir. Dikkatli ve platformda uyanık olmak ekseriyetle en güzel korunma usulüdür. Ayrıyeten, geliştiriciler hiç bir koda, bilhassa de yazmadıkları koda asla güvenmemeliler.”



Kaynak: (BYZHA) – Beyaz Haber Ajansı