Hoʻouka hou ʻia ʻo Trivy: Hoʻopili ʻia nā mea huna a ka GitHub Actions tag

Trivy ma lalo o ka hoʻouka hou ʻia: Laha nui ʻia nā mea huna o nā hana GitHub hana i nā mea huna

O ka palekana o ke kaulahao lako lako polokalamu e like me kona ikaika loa. No nā hui hoʻomohala lehulehu, ua lilo kēlā loulou i mau mea hana pono a lākou e hilinaʻi ai e ʻike i nā nāwaliwali. Ma kahi e pili ana i nā hanana, ʻo Trivy, kahi mea hoʻomākaʻikaʻi ākea ākea i mālama ʻia e Aqua Security, ua loaʻa iā ia iho ma ke kikowaena o kahi hoʻouka kaua. Ua hoʻololi ka poʻe hana ʻino i kahi hōʻailona mana kikoʻī (`v0.48.0`) i loko o kāna waihona GitHub Actions, ka hoʻokomo ʻana i ke code i hoʻolālā ʻia e ʻaihue i nā mea huna mai nā kaila hana i hoʻohana iā ia. He mea hoʻomanaʻo koʻikoʻi kēia hanana i loko o kā mākou kaiaola hoʻomohala pili, pono e hōʻoia mau ʻia ka hilinaʻi, ʻaʻole i manaʻo ʻia.

Anatomy of the Tag Compromise Attack

ʻAʻole kēia he uhaki i ke code noi kumu nui o Trivy, akā he hoʻololi akamai i kāna ʻenehana CI/CD. Hoʻokumu ka poʻe hoʻouka kaua i ka waihona ʻo GitHub Actions, e hana ana i kahi mana ʻino o ka faila ʻaction.ymlʻ no ka hōʻailona `v0.48.0`. I ka wā i kuhikuhi ʻia ai kēia hōʻailona kikoʻī, e hana ka hana i kahi palapala hōʻino ma mua o ka holo ʻana i ka Trivy scan pono. Ua hoʻolālā ʻia kēia palapala no ka hoʻopau ʻana i nā mea huna—e like me nā hōʻailona waihona, nā hōʻoia o ka mea hāʻawi kapua, a me nā kī API—i kahi kikowaena mamao i mālama ʻia e ka mea hoʻouka. ʻO ke ʻano insidious o kēia hoʻouka ʻana aia i kona kikoʻī; ʻAʻole i hoʻopilikia ʻia nā mea hoʻomohala e hoʻohana ana i nā hōʻailona `@v0.48` a i ʻole `@main` palekana, akā, ʻo ka poʻe i hoʻopaʻa i ka hōʻailona i hoʻopaʻa ʻia me ka ʻike ʻole, ua hoʻokomo lākou i kahi nāwaliwali koʻikoʻi i loko o kā lākou paipu.

No ke aha e kū ai kēia hanana ma ka honua DevOps

He mea ko'iko'i ka 'aelike Trivy no kekahi mau kumu. ʻO ka mea mua, ʻo Trivy kahi mea hana palekana kumu i hoʻohana ʻia e nā miliona e nānā i nā nāwaliwali i loko o nā ipu a me nā code. Hoʻopau ka hoʻouka ʻana i kahi mea hana palekana i ka hilinaʻi kumu i koi ʻia no ka hoʻomohala palekana. ʻO ka lua, hōʻike ia i ka ulu ʻana o ka poʻe hoʻouka kaua e neʻe ana i "upstream," e kuhikuhi ana i nā mea hana a me nā hilinaʻi i kūkulu ʻia ai nā polokalamu ʻē aʻe. Ma ka ʻona ʻana i hoʻokahi mea i hoʻohana nui ʻia, hiki iā lākou ke loaʻa ke komo i kahi pūnaewele nui o nā papahana a me nā hui. He mea noiʻi hihia koʻikoʻi kēia i ka palekana kaulahao lako, e hōʻike ana ʻaʻohe mea paahana, ʻaʻohe mea maikaʻi, ʻaʻole hiki ke hoʻohana ʻia ma ke ʻano he mea hoʻouka kaua.

"Ke hōʻike nei kēia hoʻouka ʻana i kahi ʻike paʻakikī o ka ʻano mea hoʻomohala a me ka mechanics CI/CD. ʻO ka paʻi ʻana i kahi hōʻailona kikoʻī i manaʻo pinepine ʻia he hana maikaʻi loa no ka paʻa, akā hōʻike kēia hanana hiki ke hoʻokomo pū i ka pilikia inā hoʻololi ʻia kēlā mana kikoʻī.

Nā ʻanuʻu koke e hoʻopaʻa i kāu mau hana GitHub

Ma hope o kēia hanana, pono nā mea hoʻomohala a me nā hui palekana e hana i nā hana e hoʻopaʻakikī i kā lākou mau hana hana GitHub Actions. ʻO ka ʻoluʻolu ka ʻenemi o ka palekana. Eia nā ʻanuʻu koʻikoʻi e hoʻokō koke ai:

• E hoʻohana i ka commit SHA pin ma kahi o nā hōʻailona: E kuhikuhi mau i nā hana e kā lākou commit hash piha (e laʻa., `actions/checkout@a81bbbf8298c0fa03ea29cdc473d45769f953675`). ʻO kēia wale nō ke ala e hōʻoiaʻiʻo ai ke hoʻohana nei ʻoe i kahi mana hoʻololi ʻole o ka hana.
• E nānā i kāu kaʻina hana o kēia manawa: E nānā i kāu papa kuhikuhi ʻ.github/workflows`. E ʻike i nā hana i hoʻopaʻa ʻia i nā hōʻailona a hoʻololi iā lākou e hana i nā SHA, ʻoi aku no nā mea hana palekana koʻikoʻi.
• E hoʻohana i nā hiʻohiʻona palekana o GitHub: E ʻae i ka nānā ʻana i ke kūlana i koi ʻia a nānā i ka hoʻonohonoho `workflow_permissions`, e hoʻonoho iā lākou i ka heluhelu-wale nō ma ka paʻamau e hōʻemi i ka pōʻino mai kahi hana i hoʻopaʻa ʻia.
• Mālama no ka hana maʻamau: E hoʻokō i ka hoʻopaʻa inoa ʻana a me ka nānā ʻana i kāu mau paipu CI/CD no ka ʻike ʻana i nā pilina pūnaewele waho i manaʻo ʻole ʻia a i ʻole nā hoʻāʻo ʻae ʻole e hoʻohana i kāu mau mea huna.

Kūkulu ʻana i ke kahua paʻa me Mewayz

ʻOiai he mea koʻikoʻi ka hoʻopaʻa ʻana i nā mea hana ponoʻī, hiki mai ke kūpaʻa ʻoiaʻiʻo mai ke ʻano holoʻokoʻa i kāu hana ʻoihana. Hōʻike nā hanana e like me ka Trivy compromise i nā paʻakikī huna a me nā pilikia i hoʻokomo ʻia i loko o nā kaulahao mea hana hou. ʻO kahi paepae e like me Mewayz e kamaʻilio i kēia ma ka hoʻolako ʻana i kahi OS ʻoihana modular e hōʻemi i ka sprawl hilinaʻi a hoʻonohonoho i ka mana. Ma kahi o ka juggling i hoʻokahi kaukani lawelawe ʻokoʻa-ʻo kēlā me kēia me kāna kumu hoʻohālike ponoʻī a me ka pōʻai hoʻopou hou-Hoʻohui ʻo Mewayz i nā hana koʻikoʻi e like me ka hoʻokele papahana, CRM, a me ka lawelawe ʻana i nā palapala i loko o kahi kaiapuni hoʻokahi. Hoʻemi kēia hoʻohui ʻana i ka ʻili hoʻouka a hoʻomaʻamaʻa i ka hoʻokele palekana, e ʻae ana i nā hui e kālele i nā hiʻohiʻona kūkulu ʻana ma mua o ka hoʻopaʻa mau ʻana i nā nāwaliwali i loko o kahi pūʻulu polokalamu ʻāpana. I loko o kahi honua kahi e hiki ai i ka hōʻailona hoʻokahi ke alakaʻi i kahi haʻihaʻi nui, ʻo ka palekana i hoʻohui ʻia a me nā hana maʻalahi i hāʻawi ʻia e Mewayz e hāʻawi i kahi kumu hoʻomalu a loiloi no ka ulu ʻana.