GitHub Actions on laajalti tunnettu avoimen l?hdekoodin kehitt?jien ty?kalu, joka ei kuitenkaan vaikuta olevan en?? entisens?. Vuosien ajan on kasvanut huoli siit?, ett? verkkorikolliset hy?dynt?v?t alustaa levitt??kseen haittaohjelmia. Uuden raportin mukaan tilanne on h?lytt?v?.
Legit Securityn raportin mukaan suurin osa GitHub Actionseista ei ole varmennettujen k?ytt?jien luomia. Niit? ei my?sk??n yll?pidet?, ne sis?lt?v?t haavoittuvuuksia ja niiden tietoturvapisteet ovat hyvin alhaiset.
Legit Securityn tutkimusjohtaja Roy Blit kommentoi tiedotteessaan tilanteen aiheuttamia tietoturvavaaroja yrityksille:
“GitHub on eritt?in suosittu alusta. Itse asiassa yli 100 miljoonaa kehitt?j?? ja yli 90 prosenttia Fortune 100 -yrityksist? k?ytt?? sit?.
“Suosiostaan huolimatta useimmat GitHub Actions -automatisoinnit ovat tavalla tai toisella turvattomia — ne ovat joko liian avoimia tai niiss? on korkean riskin riippuvuuksia.
“Havaitsimme esimerkiksi aiemmassa tutkimuksessamme, ett? jopa globaalien yritysten, kuten Googlen ja Apachen, projektit ovat t?lt? osin puutteellisia. N?m? havainnot ovat huolestuttavia, koska GitHub Actions tarjoaa ulkopuolisille avaimet kriittiseen infrastruktuuriin.
“Ne ovat yhteydess? organisaation l?hdekoodiin ja sen k?ytt??nottoon, joten mik?li verkkorikolliset hy?dynt?v?t niit?, voi koko organisaatio olla pahimmassa tapauksessa t?ysin hy?kk??j?n armoilla.”
GitHub Actions -tilastot ylittiv?t odotukset
Tutkimuksessaan Legit Security paljasti lis?ksi, ett? yli 7 000 tapauksessa esiintyi ep?luotettavalta vaikuttavaa sis?lt??, yli 2 500 tapausta sis?lsi ep?luotettavaa koodia ja yli 3 000 tapauksessa k?ytettiin ep?luotettavia tuloksia.
- 19 113 mukautetusta GitHub Actionsista vain 913 oli varmennettujen GitHub-k?ytt?jien luomia.
- 18 prosentissa oli tietoturvan kannalta helposti haavoittuvia riippuvuuksia.
- 762 oli arkistoitu ja niit? ei p?ivitet? s??nn?llisesti.
- OSSF keskim??r?inen tietoturvapiste oli 4,23/10, ja suurinta osaa arkistoista yll?piti ainoastaan yksi kehitt?j?.
Techopedia keskusteli Legit Securityn Roy Blitin kanssa, joka kertoi n?ist? yll?tt?vist? havainnoista GitHub-raportissa.
“Tiesimme, ett? l?yd?mme todenn?k?isesti paljon turvattomia Actions-automatisointeja, mutta emme odottaneet, ett? tilanne olisi n?in laajalle levinnyt. L?yt?m?mme tilastot ylittiv?t kaikki ennakko-odotukset.”
GitHub-resurssien eheytt? varjostaa historia
T?llaiset?GitHubin tietoturvallisuutta kyseenalaistavat raportit?eiv?t sin?ns? ole mit??n uutta.
Esimerkiksi Bitdefender raportoi vuonna 2022, ett? tuhannet repot GitHubissa sis?lsiv?t haittaohjelmia. Vuonna 2023 Aqua Nautilus havaitsi, ett? miljoonat GitHub-repositoriot olivat haavoittuvia RepoJacking-hy?kk?yksille.
Roy Blit Legit Securityst? on k?sitellyt kyseist? aihetta ja sit?, miksi yrityksen tuore raportti on niin ainutlaatuinen.
“GitHub on ollut tietoturvatutkijoiden tarkastelun alla jo jonkin aikaa. T?m? tutkimus keskittyy kuitenkin erityisesti GitHub Actions -ty?kaluun — GitHubin tarjoamaan CI/CD (continuous integration and continuous deployment) -palveluun”, Blit sanoi.
“Olemme suorittaneet perusteellisen tutkimuksen eri n?k?kohdista GitHub Actionsissa. Vastaavaa ei ole tehty aiemmin t?ss? mittakaavassa. Mielest?mme asiasta on t?rke? kouluttaa avoimen l?hdekoodin yhteis??, jotta hy?kk??ji? voitaisiin est?? ottamasta haltuunsa sovellusprojektien CI/CD-ty?kaluja.”
Cloudflaren Global Partner Solutions Architect Leaderin Vaibhav Malik ilmaisi h?mm?styksens? t?m?n uuden raportin tulosten laajuudesta:
“Yksi j?rkytt?vimmist? l?yd?ksist? on potentiaalisten haavoittuvuuksien valtava m??r?. Tutkimuksessa havaittiin, ett? yli 7 000 tapauksessa esiintyi ep?luotettavaa sis?lt?? ja yli 2 500 tapausta sis?lsi haitallista koodia.”
“Kun otetaan huomioon GitHubin laaja k?ytt? kehitt?jien ja suurten yritysten keskuudessa, n?iden haavoittuvuuksien mahdollinen vaikutus on huolestuttava”, Malik sanoi.
“On my?s h?lytt?v??, ett? 98 prosenttia ty?teht?viss? k?ytetyist? viittauksista ei noudata parhaita k?yt?nt?j? riippuvuuksien hallinnassa. T?m? j?tt?? monet Github Actionsit alttiiksi odottamattomille muutoksille tai p?ivityksille.”
Malik selitti, ett? l?yd?kset ovat erityisen merkitt?vi?, koska ne korostavat GitHub Actionsin haavoittuvuuksia, joista on tullut kriittisi? monien organisaatioiden sovelluskehityksen hallinnoinnissa ja automatisoinnissa.
“Toisin kuin aiemmat tietoturvaan liittyv?t huolenaiheet, jotka ovat saattaneet keskitty? repositorioiden k?ytt?oikeuksiin tai koodin eheyteen, n?m? haavoittuvuudet voisivat antaa hy?kk??jille mahdollisuuden manipuloida automatisoituja prosesseja, jotka rakentavat, testaavat ja ottavat k?ytt??n l?hdekoodia.”
Vaihtoehtoja kehitt?jille, jotka haluavat pelata varman p??lle
Vaikka GitHub on edelleen merkitt?v? toimija alallaan, on l?hdekoodin hallinnointiin muitakin vaihtoehtoja. Ne, jotka eiv?t v?lit? niin paljon GitHubista, saattavat harkita siirtymist? pilvipohjaisiin vaihtoehtoihin, kuten AWS CodeCommitiin tai Azure DevOps Serveriin.
Esimerkiksi Bitbucket tai GitLab ovat edell? mainittujen nimien ohella vastaavilla ominaisuuksilla varustettuja, vahvoja vaihtoehtoja.
Legit Securityn Blitin mukaan kehitt?jien ja yritysten on kuitenkin huomioitava my?s muita tekij?it?.
“Useimmat t?ss? tutkimuksessa esiin nostetut riskit koskevat itse asiassa l?hes kaikkia CI/CD-palveluita. Esimerkiksi riippuvuuksien asentaminen tiettyyn versioon siksi, ettei niit? voida muuttaa ilman kehitt?j?n tietoa, on t?rke?? tietoturvallisuuden kannalta. Kehitt?jien on vain muistettava noudattaa parhaita k?yt?nt?j? ja v?ltt?? raportissa esiin tuotuja tietoturva-aukkoja.”
Cloudflaren Malik mainitsi Techopedialle, ett? tutkimustulosten perusteella sovelluskehitt?jien tulisi harkita seuraavia toimenpiteit?:
- Kirjoittaessaan GitHub Actions -automatisointeja kehitt?jien tulisi ottaa k?ytt??n tiukempia tietoturvak?yt?nt?j? – erityisesti salaisen tiedon k?sittelyss? ja injektioiden est?misess?.
- Kolmannen osapuolen Actionseja k?ytett?ess? tulisi olla eritt?in varovainen. Ensisijaisesti tulisi valita Actionseja vain varmennetuista l?hteist? ja niist?, joilla on korkeat tietoturvapisteet.
- GitHubin sis??nrakennettuja ominaisuuksia Actions-ty?kalun hallinnassa tulisi hy?dynt?? parhaiden k?yt?nt?jen mukaisesti.
On lis?ksi t?rke?? tiedostaa GitHubin resurssien tila, tuntea niihin liittyv?t riskit ja integroida tarvittaessa muitakin tietoturvaan liittyvi? ty?kaluja. Malik puhui my?s niille, jotka etsiv?t uusia alustoja versionhallintaan.
“Kehitt?j?t saattavat harkita vaihtoehdoksi muita CI/CD-alustoja, joissa on mahdollisesti vahvempia tietoturvaominaisuuksia, tai yll?pit?? omia ratkaisuja ja mukautettuja ymp?rist?j?. Jokainen vaihtoehto tulisi kuitenkin arvioida huolellisesti sen mahdollisten tietoturva-aukkojen osalta.”
Yhteenveto – Github Actions
Legit Securityn raportti toimii varmasti her?tteen? monille kehitt?jille ja organisaatioille, jotka luottavat GitHub Actionseihin. N?iden automatisoitujen ty?kalujen k?tevyys tuo mukanaan tietoturvariskej?, jotka on syyt? ottaa vakavasti.
T?m? ei tarkoita sit?, ett? GitHubista pit?isi luopua kokonaan. On kuitenkin t?rke?? asettaa tietoturva etusijalle etenkin Github Actions -ty?kalua k?ytett?ess?.
Sek? Blitin ett? Malikin suositukset tarjoavat selke?t suuntaviivat: tiukemmat tietoturvak?yt?nn?t, vastuullisen kolmansien osapuolten teht?vien valinnan sek? sis??nrakennettujen tietoturvaominaisuuksien hy?dynt?misen.
Niille, jotka haluavat parasta mahdollista tietoturvaa, vaihtoehtoisten CI/CD-alustojen tai itse hallinnoitavien ratkaisujen tutkiminen ja k?ytt??notto voi olla vaihtoehto.
On syyt? muistaa, ett? tietoturvasta huolehtiminen on loputon savotta. Viime k?dess? tietoisuus tietoturvariskeist?, parhaiden k?yt?nt?jen noudattaminen ja mahdollisten ty?kalujen k?ytt? ovat tekij?it?, jotka pit?v?t l?hdekoodisi turvassa.