IT之家 8 月 16 日消息,派拓网络(Palo Alto Networks)旗下安全部门 Unit 42 于 8 月 13 日发布报告,表示托管在 GitHub 上的很多热门开源项目存在身份认证授权令牌(Auth tokens)泄露问题,让整个项目面临数据被盗和篡改植入恶意代码等风险。Unit 42 部门发现包括谷歌、微软和 AWS 等公司在内,很多开源项目通过 CI / CD 工作流中使用 GitHub Actions 操作,存在泄露身份验证 tokens 的问题。如果恶意行为者发现了这些 tokens,他们就可以利用它们访问私有存储库、窃取源代码,甚至篡改源代码,将合法项目变成恶意软件。Unit 42 部门表示,默认设置、用户错误配置和安全检查不足等问题是上述问题的核心。其中一个关键问题存在于“actions / checkout”操作中,默认情况下,该操作会将 GitHub tokens 保存在本地 .git 目录中(
托管在 GitHub 上的诸多开源项目被曝存在 Auth tokens 泄露问题
2024-08-16 08:37:42来源: IT之家
关注公众号
赞
你的鼓励是对作者的最大支持
- 最强端侧开源 AI 模型 Zamba2-mini 登场:12 亿参数,4bit 量化下内存占用小于 700MB2024-08-29 15:29:44
- 微软向 Wine 团队捐赠 Mono 开源项目2024-08-28 08:54:30
- 国产香山 RISC-V 开源处理器“南湖”开发板成功运行《云・原神》2024-08-24 15:02:12
- 最前线|KubeCon China 2024在香港举办,中国成为全球第二大开源贡献国2024-08-23 16:13:00
- 摩尔线程开源音频理解大模型 MooER:基于国产全功能 GPU 训练和推理2024-08-23 18:21:35
- 北斗 Astrolink S 智能手表发布:华为海思 MCU + 开源鸿蒙 OpenHarmony 底层架构,2999 元起2024-08-20 15:58:51
- 小米:将对外公开超 1000 万行的 Xiaomi Vela 开源代码2024-08-20 17:53:27
- 国内首批,饿了么免费开源 10 项专利2024-08-20 10:17:33
- 华为推出 5 本软件工程教材:分别基于鲲鹏、开源鸿蒙 OpenHarmony、openEuler 等2024-08-18 17:41:45
- 通义千问开源数学模型Qwen2-Math,数学能力超越GPT-4o2024-08-09 12:36:03
- 1全球人工智能峰会呼吁全球行动,确保人工智能创新“造福人类”
- 2禾赛携全新旗舰 360° 激光雷达 OT128 强势登陆 2024 德国 IAA 展
- 3英国科学家研制出超薄二维表面材料,有望增强 6G 卫星通信能力
- 4世界首家手电体验店在拉斯维加斯盛大开业
- 5三星 Galaxy A16 5G 手机宣传图曝光:6.7 英寸屏幕、天玑 6300 / Exynos 1330 芯片,6…
- 6Snap 发布第 5 代 Spectacles AR 眼镜:集成 OpenAI 多模态 AI 模型,支持语音控制
- 7肯辛通发布 SD5000T5:首款英特尔认证的 Thunderbolt 5 扩展坞,11 个端口、最高 120 Gbps…
- 8Delectrik推出适用于大型工商业和公用事业的多兆瓦时级液流电池解决方案
- 9衣服里的Sorona 索罗纳®是什么材料?
- 10充电 60 元超时费 1600 元,特斯拉车主又遭遇充电刺客