托管在 GitHub 上的诸多开源项目被曝存在 Auth tokens 泄露问题

图片地址：https://img.ithome.com/newsuploadfiles/2024/8/b5a99691-5423-419e-8734-8cdf813da8e1.jpg?x-bce-process=image/format,f_auto

IT之家 8 月 16 日消息，派拓网络（Palo Alto Networks）旗下安全部门 Unit 42 于 8 月 13 日发布报告，表示托管在 GitHub 上的很多热门开源项目存在身份认证授权令牌（Auth tokens）泄露问题，让整个项目面临数据被盗和篡改植入恶意代码等风险。Unit 42 部门发现包括谷歌、微软和 AWS 等公司在内，很多开源项目通过 CI / CD 工作流中使用 GitHub Actions 操作，存在泄露身份验证 tokens 的问题。如果恶意行为者发现了这些 tokens，他们就可以利用它们访问私有存储库、窃取源代码，甚至篡改源代码，将合法项目变成恶意软件。Unit 42 部门表示，默认设置、用户错误配置和安全检查不足等问题是上述问题的核心。其中一个关键问题存在于“actions / checkout”操作中，默认情况下，该操作会将 GitHub tokens 保存在本地 .git 目录中（