N?r du kj?per via tilknyttede lenker p? nettstedet v?rt, kan vi motta en provisjon uten ekstra kostnad for deg. Les mer om 
GitHub, ?pen kildekode-utviklernes paradis, er ikke lenger hva det pleide ? v?re. Etter flere ?r med ?kende antall meldinger om at angripere utnytter plattformen til ? distribuere og snike inn skadevare, har en ny rapport kommet frem til en sjokkerende konklusjon.
Legit Security-rapporten fant at de fleste GitHub Actions ikke er opprettet av verifiserte brukere, ikke blir vedlikeholdt, har s?rbarheter og har sv?rt lav sikkerhetsscore.
Roy Blit, forskningssjef hos Legit Security, uttalte seg i en pressemelding om farene dette representerer for bedrifter overalt.
“GitHub er en ekstremt popul?r plattform. Faktisk bruker mer enn 100 millioner utviklere og over 90 % av Fortune 100-selskapene den.
“Til tross for populariteten er de fleste GitHub Actions-arbeidsflyter usikre p? en eller annen m?te – fra ? v?re altfor privilegerte til ? ha avhengigheter med h?y risiko.
“For eksempel har vi i tidligere unders?kelser funnet at selv prosjekter fra globale selskaper som Google og Apache er mangelfulle. Disse funnene er alarmerende fordi GitHub Actions er n?kkelen til kritisk infrastruktur.
“De er koblet til en organisasjons kildekode og distribusjonsmilj?, s? n?r de f?rst er utnyttet, er organisasjonen helt i hendene p? angriperen.”
N?kkelpunkter
- En ny rapport antyder at GitHub Actions utgj?r en sikkerhetsrisiko – en stor del av GitHub Actions er ikke opprettet av verifiserte brukere, mangler vedlikehold og har s?rbarheter.
- Problemet er betydelig, med bekymringsfulle trender som kj?ring av up?litelig kode i tusenvis av arbeidsflyter og usikker avhengighetsstyring.
- Selv om GitHub kan forbedre plattformsikkerheten, m? utviklere prioritere sikker kodingspraksis og bruke de innebygde sikkerhetsfunksjonene i Actions.
- Det finnes alternativer, men det er viktig ? v?re p?passelig. ? utforske alternativer som GitLab eller selvbetjente alternativer kommer med sine egne sikkerhetshensyn.
Statistikk over GitHub-handlinger “utover forventningene
I sin unders?kelse avdekket Legit Security ogs? interpolering av up?litelig input i mer enn 7000 arbeidsflyter, kj?ring av up?litelig kode i over 2500 arbeidsflyter og bruk av up?litelige artefakter i mer enn 3000 arbeidsflyter.
Av de 19 113 tilpassede GitHub-handlingene var bare 913 opprettet av verifiserte GitHub-brukere , 18 % hadde s?rbare avhengigheter, 762 er arkivert og mottar ikke regelmessige oppdateringer, den gjennomsnittlige OSSF-sikkerhetsscoren var 4,23 av 10, og de fleste repositoriene vedlikeholdes av én enkelt utvikler.
Techopedia snakket med Roy Blit fra Legit Security, som fortalte om de overraskende funnene i GitHub-rapporten.
“Vi visste at vi sannsynligvis kom til ? finne mange tilfeller av usikre arbeidsflyter og handlinger, men vi hadde ikke forventet at dette skulle v?re s? utbredt. Statistikken vi fant var over all forventning.”
GitHub-ressursers integritetshistorie overskygget
Rapporter som setter sp?rsm?lstegn ved GitHubs ressursers integritet er ikke noe nytt. For ? nevne bare et par eksempler, rapporterte Bitdefender i 2022 at tusenvis av PoC-utnyttelser p? GitHub var sn?ret med skadelig programvare, og i 2023 fant Aqua Nautilus at millioner av GitHub-depoter var potensielt s?rbare for ‘RepoJacking’.
Blit fra Legit Security diskuterte denne historiske GitHub-trenden og hvorfor deres siste rapport er unik.
“GitHub har faktisk v?rt under sikkerhetsforskning i ganske lang tid. Denne unders?kelsen fokuserer imidlertid spesifikt p? GitHub Actions – CI/CD-tjenesten [kontinuerlig integrasjon og kontinuerlig distribusjon] som tilbys av GitHub,” sa Blit.
“Vi har gjennomf?rt en grundig unders?kelse av ulike aspekter ved GitHub Actions, noe som ikke har blitt gjort tidligere i dette omfanget, og det er viktig ? utdanne open source-fellesskapet i denne saken for ? forhindre at angripere tar over CI/CD-r?rledningene til kritiske prosjekter.”
Vaibhav Malik, Global Partner Solutions Architect Leader hos Cloudflare, uttrykte sjokk over omfanget av funnene i denne nye rapporten til Techopedia:
“Et av de mest sjokkerende funnene er det enorme omfanget av potensielle s?rbarheter. Unders?kelsen avdekket interpolering av up?litelig input i over 7000 arbeidsflyter og kj?ring av up?litelig kode i over 2500 arbeidsflyter.”
“Gitt GitHubs utbredte bruk blant utviklere og store selskaper, er den potensielle effekten av disse s?rbarhetene bekymringsfull”, sier Malik.
“I tillegg er det alarmerende at 98 % av referansene som brukes av jobber og trinn, ikke f?lger beste praksis for “dependency pinning”. Dette gj?r at mange arbeidsflyter potensielt kan bli utsatt for uventede endringer eller oppdateringer.”
Malik forklarer at funnene er spesielt relevante fordi de fremhever s?rbarheter i GitHub Actions, som har blitt kritiske for mange organisasjoners utviklings- og distribusjonsrutiner.
“I motsetning til tidligere sikkerhetsproblemer som kan ha fokusert p? tilgang til repositoriet eller kodeintegritet, kan disse s?rbarhetene gj?re det mulig for angripere ? manipulere de automatiserte prosessene som bygger, tester og distribuerer kode.”
Alternativer for utviklere som ?nsker ? spille proff og sikker
Selv om GitHub fortsatt er en stor akt?r, finnes det andre alternativer for kodehosting og samarbeid. De som ikke er s? innbitte GitHub-fans, kan for eksempel tenke p? ? g? videre til skybaserte alternativer som AWS CodeCommit, Azure DevOps Server (for Microsoft-milj?er) eller pr?ve andre plattformer som Bitbucket eller GitLab, en sterk konkurrent med lignende funksjoner.
Men Blit fra Legit Security sier at utviklere og selskaper kanskje b?r vurdere andre faktorer.
“De fleste av risikoene som presenteres i denne unders?kelsen, er faktisk relevante for nesten alle CI/CD-tjenester der ute. For eksempel er det viktig ? knytte avhengigheter til en bestemt versjon (for ? forhindre at den endres uten utviklerens viten), uansett hvilken CI-tjeneste du bruker. Utviklere m? bare huske p? ? jobbe i henhold til beste praksis og unng? sikkerhetsfellene som presenteres i rapporten.”
Malik fra Cloudflare sa til Techopedia at basert p? forskningsresultatene b?r utviklere vurdere f?lgende tiltak:
- Implementere strengere sikkerhetspraksis n?r du skriver GitHub Actions-arbeidsflyter, spesielt n?r det gjelder h?ndtering av hemmeligheter og forebygging av kodeinjeksjon.
- V?r mer forsiktig n?r du bruker tredjeparts Actions fra markedsplassen. Prioriter Actions fra verifiserte skapere og de med h?yere sikkerhetsscore.
- Bruk GitHubs innebygde funksjoner for ? kontrollere atferden til GitHub Actions for ? h?ndheve beste praksis.
Bevissthet om tilstanden til GitHub-ressurser og kunnskap om risikoen forbundet med GitHub Actions, samt integrering av flere sikkerhetsverkt?y, er ogs? en god idé fremover. Malik snakket om de som ser etter nye plattformer.
“Som alternativer kan utviklere vurdere andre CI/CD-plattformer med potensielt sterkere sikkerhetsfunksjoner, eller se n?rmere p? selvhostede l?pere og tilpassede handlingsimplementeringer som gir bedre kontroll over kj?ringsmilj?et. Alle alternativer b?r imidlertid evalueres n?ye med tanke p? potensielle sikkerhetskonsekvenser.”
Konklusjon
Rapporten fra Legit Security er en vekker for utviklere og organisasjoner som er avhengige av GitHub Actions. Bekvemmeligheten ved disse automatiserte verkt?yene kommer med en sikkerhetsrisiko, spesielt med tanke p? utbredelsen av uvedlikeholdte handlinger og usikker kodingspraksis.
Dette betyr ikke at man m? forlate GitHub helt. Det er imidlertid avgj?rende ? prioritere sikkerhet n?r du bruker Actions, og anbefalingene fra b?de Blit og Malik gir en klar veikart: strengere sikkerhetspraksis, ansvarlig valg av tredjepartshandlinger og utnyttelse av innebygde sikkerhetsfunksjoner.
For de som ?nsker den strengeste kontrollen, kan det v?re et alternativ ? utforske alternative CI/CD-plattformer eller selvbetjente l?sninger. Men husk at sikkerhet er en konstant kamp uansett hvor du g?r. Til syvende og sist er det en kombinasjon av bevissthet, beste praksis og potensielt flere sikkerhetsverkt?y som vil holde utviklingspipelinen trygg.
