ድጋሚ በጥቃቱ ስር ያለ ነገር፡- GitHub Actions ተስፋፍቷል ሚስጥሮችን የመደራደር መለያ
አስተያየቶች
Mewayz Team
Editorial Team
በድጋሚ በጥቃቱ ስር ያለ ትሪቪ፡- GitHub Actions ተስፋፍቷል ሚስጥሮችን መለያ ስጥ
የሶፍትዌር አቅርቦት ሰንሰለት ደህንነት እንደ ደካማው አገናኝ ብቻ ጠንካራ ነው። ስፍር ቁጥር ለሌላቸው የልማት ቡድኖች ያ አገናኝ ተጋላጭነቶችን ለማግኘት የሚተማመኑባቸው መሳሪያዎች ሆነዋል። በክስተቶች ዙርያ፣ በአኳ ሴኪዩሪቲ የሚጠበቀው ታዋቂው የክፍት ምንጭ የተጋላጭነት ስካነር ትሪቪ እራሱን በተራቀቀ ጥቃት መሃል አገኘው። ተንኮል አዘል ተዋናዮች በ GitHub Actions ማከማቻው ውስጥ የተወሰነ የስሪት መለያ (`v0.48.0`) አበላሽተዋል፣ ይህም ከማንኛውም የስራ ሂደት ውስጥ ስሱ ሚስጥሮችን ለመስረቅ የተነደፈ ኮድ ያስገባ። ይህ ክስተት እርስ በርስ በተያያዙት የዕድገት ሥነ-ምህዳሮቻችን ውስጥ መተማመን ያለማቋረጥ መረጋገጥ እንጂ መታሰብ እንደሌለበት የሚያሳስብ ነው።
የመለያ ስምምነት ጥቃት አናቶሚ
ይህ የትሪቪ ዋና መተግበሪያ ኮድ መጣስ አልነበረም፣ ነገር ግን የCI/ሲዲ አውቶማቲክን በብልህነት የተገለበጠ ነበር። አጥቂዎቹ የ GitHub ድርጊቶች ማከማቻን ኢላማ አድርገዋል፣ ለ`v0.48.0` መለያ የ`action.yml` ፋይል ተንኮል አዘል ስሪት ፈጥረዋል። የገንቢው የስራ ፍሰት ይህን ልዩ መለያ ሲጠቅስ ህጋዊውን የTrivy ቅኝት ከማስኬዱ በፊት ድርጊቱ ጎጂ ስክሪፕት ያስፈጽማል። ይህ ስክሪፕት የተቀረፀው ሚስጥሮችን - እንደ የመረጃ ማከማቻ ቶከኖች፣ የደመና አቅራቢዎች ምስክርነቶች እና የኤፒአይ ቁልፎች - በአጥቂው ቁጥጥር ስር ወዳለው የርቀት አገልጋይ ነው። የዚህ ጥቃት መሰሪነት ባህሪው በልዩነት ላይ ነው; ደህንነቱ ይበልጥ የተጠበቀ `@v0.48` ወይም `@main` መለያዎችን የሚጠቀሙ ገንቢዎች አልተነኩም፣ ነገር ግን በትክክል የተጠለፈውን መለያ የሰኩት ሳያውቁት ወሳኝ ተጋላጭነትን ወደ ቧንቧቸው አስገቡ።
ለምንድነው ይህ ክስተት በዴቭኦፕስ አለም ዙሪያ የሚሰማው
የትሪቪ ስምምነት በብዙ ምክንያቶች ጉልህ ነው። በመጀመሪያ፣ ትሪቪ በመያዣዎች እና በኮድ ውስጥ ያሉ ድክመቶችን ለመቃኘት በሚሊዮኖች የሚጠቀሙበት የመሠረታዊ የደህንነት መሳሪያ ነው። በደህንነት መሳሪያ ላይ የሚደርስ ጥቃት ለደህንነቱ የተጠበቀ ልማት የሚያስፈልገውን መሰረት ያደርሳል። ሁለተኛ፣ ሌሎች ሶፍትዌሮች የተገነቡባቸውን መሳሪያዎች እና ጥገኞች ኢላማ በማድረግ አጥቂዎች “ወደ ላይ” የሚንቀሳቀሱትን እያደገ ያለውን አዝማሚያ ያጎላል። በስፋት ጥቅም ላይ የዋለውን አንድ አካል በመመረዝ፣ ሰፊ የወራጅ ፕሮጀክቶችን እና ድርጅቶችን መረብ ማግኘት ይችላሉ። ይህ ክስተት በአቅርቦት ሰንሰለት ደህንነት ላይ እንደ ወሳኝ የጉዳይ ጥናት ሆኖ ያገለግላል፣ ይህም ምንም አይነት መሳሪያ ምንም ያህል መልካም ስም ቢኖረውም እንደ ጥቃት ቬክተር ከመጠቀም ነጻ እንደማይሆን ያሳያል።"ይህ ጥቃት የገንቢ ባህሪን እና የሲአይኤ/ሲዲ ሜካኒክስን የተራቀቀ ግንዛቤን ያሳያል። በአንድ የተወሰነ ስሪት መለያ ላይ መሰካት ለመረጋጋት ጥሩ ልምምድ ተደርጎ ይወሰዳል ነገርግን ይህ ክስተት የሚያሳየው የተወሰነ ስሪት ከተበላሸ አደጋን ሊያመጣ ይችላል. ትምህርቱ ደህንነት ቀጣይ ሂደት እንጂ የአንድ ጊዜ ማዋቀር አይደለም."
የ GitHub እርምጃዎችዎን ለመጠበቅ አፋጣኝ እርምጃዎች
ይህን ክስተት ተከትሎ፣ ገንቢዎች እና የደህንነት ቡድኖች GitHub Actions የስራ ፍሰታቸውን ለማጠናከር ንቁ እርምጃዎችን መውሰድ አለባቸው። ቸልተኝነት የደህንነት ጠላት ነው። ወዲያውኑ ተግባራዊ ለማድረግ አስፈላጊ እርምጃዎች እነሆ፡
- ከመለያዎች ይልቅ የ SHA መሰካትን ተጠቀም፡ ሁልጊዜ ድርጊቶችን በሙሉ ፈጽመው ሃሽ (ለምሳሌ፡ `actions/checkout@a81bbbf8298c0fa03ea29cdc473d45769f953675`) ተመልከት። የማይለወጥ የድርጊቱን ስሪት እየተጠቀሙ መሆንዎን የሚያረጋግጡበት ብቸኛው መንገድ ይህ ነው። የ
- የአሁኑን የስራ ፍሰቶችዎን ኦዲት ያድርጉ፡የ‹github/workflows› ማውጫዎን ይፈትሹ። ማንኛቸውም በመለያዎች ላይ የተሰኩ ድርጊቶችን ይለዩ እና SHAs እንዲፈጽሙ ይቀይሯቸው፣ በተለይም ለወሳኝ የደህንነት መሳሪያዎች።
- የ GitHubን የደህንነት ባህሪያትን መጠቀም፡ የሚፈለጉትን የሁኔታ ፍተሻዎች አንቃ እና የ‹የስራ ፍሰት_ፈቃዶች› ቅንብሩን ይከልሱ፣ በነባሪነት በነባሪነት ተነባቢ-ብቻ በማዘጋጀት በተበላሸ እርምጃ ሊደርስ የሚችለውን ጉዳት ለመቀነስ።
- ያልተለመደ እንቅስቃሴን ይቆጣጠሩ፡የእርስዎን CI/CD ቧንቧዎች ያልተጠበቁ ወደ ውጭ የሚወጡ የአውታረ መረብ ግንኙነቶችን ወይም ያልተፈቀዱ ሚስጥሮችን በመጠቀም የመድረሻ ሙከራዎችን ለማግኘት የእርስዎን የ CI/CD ቧንቧዎች ምዝግብ ማስታወሻ እና ክትትልን ይተግብሩ።
ከMewayz ጋር የሚቋቋም ፋውንዴሽን መገንባት
የነጠላ መሳሪያዎችን መጠበቅ ወሳኝ ቢሆንም፣ እውነተኛ የመቋቋም ችሎታ ለንግድ ስራዎ አጠቃላይ አቀራረብ ይመጣል። እንደ Trivy compromise ያሉ ክስተቶች በዘመናዊ የመሳሪያ ሰንሰለት ውስጥ የተካተቱትን የተደበቁ ውስብስብ ነገሮች እና አደጋዎች ያሳያሉ። እንደ Mewayz ያለ መድረክ የጥገኝነት መስፋፋትን የሚቀንስ እና ቁጥጥርን የሚያማከለ፣ የተዋሃደ፣ ሞዱል የንግድ ሥራ ስርዓተ ክወና በማቅረብ ችግሩን ይፈታዋል። Mewayz ደርዘን የተለያዩ አገልግሎቶችን ከመዝለል ይልቅ - እያንዳንዱ የራሱ የደህንነት ሞዴል እና የዝማኔ ዑደት ያለው - ሜዌይዝ እንደ የፕሮጀክት አስተዳደር ፣ CRM እና የሰነድ አያያዝ ያሉ ዋና ተግባራትን ወደ አንድ እና ደህንነቱ የተጠበቀ አካባቢ ያዋህዳል። ይህ ማጠናከሪያ የጥቃቱን ገጽታ ይቀንሳል እና የደህንነት አስተዳደርን ያቃልላል፣ ይህም ቡድኖች በተቆራረጠ የሶፍትዌር ቁልል ውስጥ ያሉ ተጋላጭነቶችን በየጊዜው ከማስተካከል ይልቅ ባህሪያትን በመገንባት ላይ እንዲያተኩሩ ያስችላቸዋል። አንድ ነጠላ መለያ መለያ ወደ ትልቅ ጥሰት ሊመራ በሚችልበት ዓለም ውስጥ፣ በመዋይዝ የቀረበው የተቀናጀ ደህንነት እና የተሳለጠ አሰራር የበለጠ ቁጥጥር እና ኦዲት የሚችል የእድገት መሰረት ይሰጣል።💡 DID YOU KNOW?
Mewayz replaces 8+ business tools in one platform
CRM · Invoicing · HR · Projects · Booking · eCommerce · POS · Analytics. Free forever plan available.
Start Free →ብዙ ጊዜ የሚጠየቁ ጥያቄዎች
በድጋሚ በጥቃቱ ስር ያለ ትሪቪ፡- GitHub Actions ተስፋፍቷል ሚስጥሮችን የመደራደር ምልክት
የሶፍትዌር አቅርቦት ሰንሰለት ደህንነት እንደ ደካማው አገናኝ ብቻ ጠንካራ ነው። ስፍር ቁጥር ለሌላቸው የልማት ቡድኖች ያ አገናኝ ተጋላጭነቶችን ለማግኘት የሚተማመኑባቸው መሳሪያዎች ሆነዋል። በክስተቶች ዙርያ፣ በአኳ ሴኪዩሪቲ የሚጠበቀው ታዋቂው የክፍት ምንጭ የተጋላጭነት ስካነር ትሪቪ እራሱን በተራቀቀ ጥቃት መሃል አገኘው። ተንኮል አዘል ተዋናዮች በ GitHub Actions ማከማቻው ውስጥ የተወሰነ የስሪት መለያ (`v0.48.0`) አበላሽተዋል፣ ይህም ከማንኛውም የስራ ሂደት ውስጥ ስሱ ሚስጥሮችን ለመስረቅ የተነደፈ ኮድ ያስገባ። ይህ ክስተት እርስ በርስ በተያያዙት የዕድገት ሥነ-ምህዳሮቻችን ውስጥ መተማመን ያለማቋረጥ መረጋገጥ እንጂ መታሰብ እንደሌለበት የሚያሳስብ ነው።
የመለያ ስምምነት ጥቃት አናቶሚ
ይህ የትሪቪ ዋና መተግበሪያ ኮድ መጣስ አልነበረም፣ ነገር ግን የCI/ሲዲ አውቶማቲክን በብልህነት የተገለበጠ ነበር። አጥቂዎቹ የ GitHub ድርጊቶች ማከማቻን ኢላማ አድርገዋል፣ ለ`v0.48.0` መለያ የ`action.yml` ፋይል ተንኮል አዘል ስሪት ፈጥረዋል። የገንቢው የስራ ፍሰት ይህን ልዩ መለያ ሲጠቅስ ህጋዊውን የTrivy ቅኝት ከማስኬዱ በፊት ድርጊቱ ጎጂ ስክሪፕት ያስፈጽማል። ይህ ስክሪፕት የተቀረፀው ሚስጥሮችን - እንደ የመረጃ ማከማቻ ቶከኖች፣ የደመና አቅራቢዎች ምስክርነቶች እና የኤፒአይ ቁልፎች - በአጥቂው ቁጥጥር ስር ወዳለው የርቀት አገልጋይ ነው። የዚህ ጥቃት መሰሪነት ባህሪው በልዩነት ላይ ነው; ደህንነቱ ይበልጥ የተጠበቀ `@v0.48` ወይም `@main` መለያዎችን የሚጠቀሙ ገንቢዎች አልተነኩም፣ ነገር ግን በትክክል የተጠለፈውን መለያ የሰኩት ሳያውቁት ወሳኝ ተጋላጭነትን ወደ ቧንቧቸው አስገቡ።
ለምንድን ነው ይህ ክስተት በዴቭኦፕስ አለም ዙሪያ የሚያስተጋባው
የትሪቪ ስምምነት በብዙ ምክንያቶች ጉልህ ነው። በመጀመሪያ፣ ትሪቪ በመያዣዎች እና በኮድ ውስጥ ያሉ ድክመቶችን ለመቃኘት በሚሊዮኖች የሚጠቀሙበት የመሠረታዊ የደህንነት መሳሪያ ነው። በደህንነት መሳሪያ ላይ የሚደርስ ጥቃት ለደህንነቱ የተጠበቀ ልማት የሚያስፈልገውን መሰረት ያደርሳል። ሁለተኛ፣ ሌሎች ሶፍትዌሮች የተገነቡባቸውን መሳሪያዎች እና ጥገኞች ኢላማ በማድረግ አጥቂዎች “ወደ ላይ” የሚንቀሳቀሱትን እያደገ ያለውን አዝማሚያ ያጎላል። በስፋት ጥቅም ላይ የዋለውን አንድ አካል በመመረዝ፣ ሰፊ የወራጅ ፕሮጀክቶችን እና ድርጅቶችን መረብ ማግኘት ይችላሉ። ይህ ክስተት በአቅርቦት ሰንሰለት ደህንነት ላይ እንደ ወሳኝ የጉዳይ ጥናት ሆኖ ያገለግላል፣ ይህም ምንም አይነት መሳሪያ ምንም ያህል መልካም ስም ቢኖረውም እንደ ጥቃት ቬክተር ከመጠቀም ነጻ እንደማይሆን ያሳያል።የ GitHub እርምጃዎችዎን ለመጠበቅ አፋጣኝ እርምጃዎች
ይህን ክስተት ተከትሎ፣ ገንቢዎች እና የደህንነት ቡድኖች GitHub Actions የስራ ፍሰታቸውን ለማጠናከር ንቁ እርምጃዎችን መውሰድ አለባቸው። ቸልተኝነት የደህንነት ጠላት ነው። ወዲያውኑ ተግባራዊ ለማድረግ አስፈላጊ እርምጃዎች እነሆ፡
ከMewayz ጋር የሚቋቋም ፋውንዴሽን መገንባት
የነጠላ መሳሪያዎችን መጠበቅ ወሳኝ ቢሆንም፣ እውነተኛ የመቋቋም ችሎታ ለንግድ ስራዎ አጠቃላይ አቀራረብ ይመጣል። እንደ Trivy compromise ያሉ ክስተቶች በዘመናዊ የመሳሪያ ሰንሰለት ውስጥ የተካተቱትን የተደበቁ ውስብስብ ነገሮች እና አደጋዎች ያሳያሉ። እንደ Mewayz ያለ መድረክ የጥገኝነት መስፋፋትን የሚቀንስ እና ቁጥጥርን የሚያማከለ፣ የተዋሃደ፣ ሞዱል የንግድ ሥራ ስርዓተ ክወና በማቅረብ ችግሩን ይፈታዋል። Mewayz ደርዘን የተለያዩ አገልግሎቶችን ከመዝለል ይልቅ - እያንዳንዱ የራሱ የደህንነት ሞዴል እና የዝማኔ ዑደት ያለው - ሜዌይዝ እንደ የፕሮጀክት አስተዳደር ፣ CRM እና የሰነድ አያያዝ ያሉ ዋና ተግባራትን ወደ አንድ እና ደህንነቱ የተጠበቀ አካባቢ ያዋህዳል። ይህ ማጠናከሪያ የጥቃቱን ገጽታ ይቀንሳል እና የደህንነት አስተዳደርን ያቃልላል፣ ይህም ቡድኖች በተቆራረጠ የሶፍትዌር ቁልል ውስጥ ያሉ ተጋላጭነቶችን በየጊዜው ከማስተካከል ይልቅ ባህሪያትን በመገንባት ላይ እንዲያተኩሩ ያስችላቸዋል። አንድ ነጠላ መለያ መለያ ወደ ትልቅ ጥሰት ሊመራ በሚችልበት ዓለም ውስጥ፣ በመዋይዝ የቀረበው የተቀናጀ ደህንነት እና የተሳለጠ አሰራር የበለጠ ቁጥጥር እና ኦዲት የሚችል የእድገት መሰረት ይሰጣል።የንግድ ስራዎን ዛሬ ይገንቡ
ከፍሪላንስ እስከ ኤጀንሲዎች ሜዌይዝ 138,000+ ቢዝነሶችን በ208 የተዋሃዱ ሞጁሎች ያግዛል። በነጻ ጀምር፣ ስታድግ አሻሽል።
ነጻ መለያ ፍጠር →Try Mewayz Free
All-in-one platform for CRM, invoicing, projects, HR & more. No credit card required.
Get more articles like this
Weekly business tips and product updates. Free forever.
You're subscribed!
Start managing your business smarter today
Join 6,208+ businesses. Free forever plan · No credit card required.
Ready to put this into practice?
Join 6,208+ businesses using Mewayz. Free forever plan — no credit card required.
Start Free Trial →Related articles
Hacker News
The insider trading suspicions looming over Trump's presidency
Apr 20, 2026
Hacker News
Claude Token Counter, now with model comparisons
Apr 20, 2026
Hacker News
Show HN: A lightweight way to make agents talk without paying for API usage
Apr 20, 2026
Hacker News
Show HN: TRELLIS.2 image-to-3D running on Mac Silicon – no Nvidia GPU needed
Apr 20, 2026
Hacker News
Sudo for Windows
Apr 19, 2026
Hacker News
Swiss AI Initiative (2023)
Apr 19, 2026
Ready to take action?
Start your free Mewayz trial today
All-in-one business platform. No credit card required.
Start Free →14-day free trial · No credit card · Cancel anytime