Trivy under attack again: Nasaknap a GitHub Actions tag dagiti sekreto ti panagkompromiso

Trivy iti sidong ti panangraut manen: Nasaknap a sekreto ti panagkompromiso ti tag ti GitHub Actions

Ti seguridad ti software supply chain ket napigsa laeng a kas ti kakapsut a silpo daytoy. Para kadagiti di mabilang a grupo ti panagdur-as, nagbalinen dayta a silpo a mismo nga alikamen a pagpannurayanda a mangbirok kadagiti kinalaka a maapektaran. Iti makapadanag a panagbalbaliw dagiti pasamak, ti ​​Trivy, maysa a nalatak nga open-source vulnerability scanner a tinartaripato ti Aqua Security, ket nasarakan ti bagina iti sentro ti sopistikado a panangraut. Dagiti dakes nga aktor ket nangikompromisoda ti espesipiko nga etiketa ti bersion (`v0.48.0`) iti uneg ti pagidulinan ti GitHub Actions-na, a nangi-inject ti kodigo a nadisenio a mangtakaw kadagiti sensitibo a sekreto manipud iti ania man nga ayus ti trabaho a nagus-usar iti daytoy. Daytoy a pasamak ket maysa a nakaro a palagip nga kadagiti agkakanaig nga ekosistematayo iti panagdur-as, ti panagtalek ket masapul nga agtultuloy a maberipika, saan a maipagarup.

Anatomia ti Panagraut ti Kompromiso ti Tag

Daytoy ket saan idi a panaglabsing ti kangrunaan a kodigo ti aplikasion ti Trivy, ngem maysa a nasirib a subbersion ti CI/CD nga automationna. Dagiti manangraut ket pinuntiriada ti pagidulinan ti GitHub Actions, a nangpartuat ti dakes a bersion ti `action.yml` a papeles para iti tag ti `v0.48.0`. No ti panagayus ti trabaho ti maysa a developer ket nangitudo iti daytoy nga espesipiko nga etiketa, ti tignay ket mangipatungpal ti makadangran nga iskrip sakbay a mangpataray ti lehitimo a panag-scan ti Trivy. Daytoy nga iskrip ket nainheniero a mangiruar kadagiti sekreto—kas dagiti token ti pagidulinan, dagiti kredensial ti mangipapaay ti ulep, ken dagiti tulbek ti API—iti adayo a serbidor a kontrolado ti manangraut. Ti nasikap a kinatao daytoy a panangraut ket adda iti kinaespesipikona; dagiti agparparang-ay nga agus-usar kadagiti nataltalged nga etiketa ti `@v0.48` wenno `@main` ket saan a naapektaran, ngem dagitoy a nangi-pin ti eksakto a nakompromiso nga etiketa ket dida ammo ket nangiyam-ammo ti kritikal a kinalaka a maapektaran iti tuboda.

Apay a Daytoy a Pasamak ket Aglalaok iti ballasiw ti Lubong ti DevOps

Ti kompromiso ti Trivy ket napateg gapu kadagiti sumagmamano a rason. Umuna, ti Trivy ket maysa a pundasional nga alikamen ti seguridad nga us-usaren ti minilion a mangi-scan kadagiti vulnerabilities kadagiti container ken code. Ti panangraut iti ramit ti seguridad dadaelenna ti pundasional a panagtalek a kasapulan para iti natalged a panagdur-as. Maikadua, itampokna ti dumakdakkel nga uso dagiti manangraut nga umakar iti "ngato ti ayus," a mangpuntiria kadagiti ramit ken panagpanpanunot a naibangon ti dadduma a software. Babaen ti panangsabidongda iti maysa a nasaknap a maus-usar a paset, mabalinda ti makagun-od iti pannakagun-od iti nalawa a network dagiti proyekto ken organisasion iti baba ti ayus. Daytoy a pasamak ket agserbi a kas maysa a kritikal a kaso a panagadal iti seguridad ti kadena ti suplay, a mangipakpakita nga awan ti ramit, urayno kasano ti kinalatak, ket saan a mausar a kas maysa a vektor ti panagraut.

"Daytoy a panagraut ket mangipakita ti sopistikado a pannakaawat ti kababalin ti developer ken dagiti mekanika ti CI/CD. Ti panagipit iti maysa nga espesipiko a tag ti bersion ket masansan a maibilang a kasayaatan nga aramid para iti kinatalged, ngem daytoy a pasamak ket mangipakita a daytoy ket mabalin pay a mangiyam-ammo ti peggad no dayta nga espesipiko a bersion ket nakompromiso. Ti leksion ket ti seguridad ket maysa nga agtultuloy a proseso, saan a ti maminsan a panagisaad."

Dagiti Dagus nga Addang tapno Matalged dagiti Aksyonmo iti GitHub

Iti panaglabas daytoy a pasamak, dagiti agparparang-ay ken dagiti grupo ti seguridad ket masapul nga agaramid kadagiti proaktibo a wagas tapno mapatangken dagiti panagayus ti trabahoda iti GitHub Actions. Ti panagkompiansa ti kabusor ti kinatalged. Adtoy dagiti nasken nga addang tapno maipatungpal a dagus:

• Usaren ti panag-pinning ti commit SHA imbes a dagiti tag: Kanayon a reperensiaen dagiti tignay babaen ti naan-anay a commit hash-da (e.g., `actions/checkout@a81bbbf8298c0fa03ea29cdc473d45769f953675`). Daytoy laeng ti wagas tapno maigarantiya nga agus-usar ka ti saan a mabaliwan a bersion ti tignay.
• I-audit dagiti agdama nga ayus ti trabahom: Sukimatem ti direktoriom a `.github/workflows`. Mailasin ti ania man nga aramid a naipit kadagiti etiketa ken baliwan dagitoy kadagiti panagkumit kadagiti SHA, nangruna para kadagiti kritikal nga alikamen ti seguridad.
• Aramaten dagiti tampok ti seguridad ti GitHub: Pagbalinen dagiti kasapulan a panagsukimat ti kasasaad ken repasuen ti setting ti `workflow_permissions`, nga ikeddeng dagitoy iti mabasa laeng babaen ti default tapno mapabassit ti mabalin a pannakadadael manipud iti nakompromiso nga aramid.
• Bantayan ti naisangsangayan nga aktibidad: Ipatungpal ti panag-log ken panagbantay para kadagiti tubo ti CI/CD-mo tapno mailasin dagiti di ninamnama a rumrummuar a koneksion ti network wenno dagiti saan nga autorisado a panagpadas ti panagserrek babaen ti panagusar kadagiti sekretom.

Panangbangon ti Naandur a Pundasion babaen ti Mewayz

Bayat a napateg ti panangseguro kadagiti indibidual nga alikamen, ti pudno a kinaandur ket aggapu iti holistiko a wagas iti panagpataray ti negosiom. Dagiti pasamak a kas iti kompromiso ti Trivy ipalgakda dagiti nailemmeng a kinarikut ken peggad a naikabil kadagiti moderno a toolchain. Ti maysa a plataporma a kas ti Mewayz ket mangtaming daytoy babaen ti panangipaay ti nagkaykaysa, modular nga OS ti negosio a mangkissay ti panagsaknap ti panagpannuray ken mangisentralisa ti panagtengngel. Imbes a mang-juggle iti maysa a dosena a nagduduma a serbisio—tunggal maysa ket addaan iti bukodna a modelo ti seguridad ken siklo ti panagpabaro—ti Mewayz ket mangitipon kadagiti kangrunaan a panagandar a kas ti panagmanehar ti proyekto, CRM, ken panagtengngel ti dokumento iti maymaysa, natalged nga aglawlaw. Daytoy a panagtitipon ket mangkissay ti rabaw ti panagraut ken mangpasimple ti panagturay ti seguridad, a mangipalubos kadagiti grupo a mangipamaysa kadagiti panagbangon kadagiti tampok imbes a kanayon a mang-patch kadagiti kinaawan ti proteksion iti nabingbingay a bunton ti software. Iti lubong a ti maymaysa a nakompromiso nga etiketa ket mabalin a mangiturong iti dakkel a panaglabsing, ti naikaykaysa a seguridad ken dagiti naurnos nga operasion nga intukon ti Mewayz ket mangipaay ti ad-adu a makontrol ken ma-audit a pundasion para iti panagdur-as.

Dagiti Masansan a Saludsod

Trivy iti sidong ti panangraut manen: Nasaknap a sekreto ti panagkompromiso ti tag ti GitHub Actions

Ti seguridad ti software supply chain ket napigsa laeng a kas ti kakapsut a silpo daytoy. Para kadagiti di mabilang a grupo ti panagdur-as, nagbalinen dayta a silpo a mismo nga alikamen a pagpannurayanda a mangbirok kadagiti kinalaka a maapektaran. Iti makapadanag a panagbalbaliw dagiti pasamak, ti ​​Trivy, maysa a nalatak nga open-source vulnerability scanner a tinartaripato ti Aqua Security, ket nasarakan ti bagina iti sentro ti sopistikado a panangraut. Dagiti dakes nga aktor ket nangikompromisoda ti espesipiko nga etiketa ti bersion (`v0.48.0`) iti uneg ti pagidulinan ti GitHub Actions-na, a nangi-inject ti kodigo a nadisenio a mangtakaw kadagiti sensitibo a sekreto manipud iti ania man nga ayus ti trabaho a nagus-usar iti daytoy. Daytoy a pasamak ket maysa a nakaro a palagip nga kadagiti agkakanaig nga ekosistematayo iti panagdur-as, ti panagtalek ket masapul nga agtultuloy a maberipika, saan a maipagarup.

Anatomia ti Panagraut ti Kompromiso ti Tag

Daytoy ket saan idi a panaglabsing ti kangrunaan a kodigo ti aplikasion ti Trivy, ngem maysa a nasirib a subbersion ti CI/CD nga automationna. Dagiti manangraut ket pinuntiriada ti pagidulinan ti GitHub Actions, a nangpartuat ti dakes a bersion ti `action.yml` a papeles para iti tag ti `v0.48.0`. No ti panagayus ti trabaho ti maysa a developer ket nangitudo iti daytoy nga espesipiko nga etiketa, ti tignay ket mangipatungpal ti makadangran nga iskrip sakbay a mangpataray ti lehitimo a panag-scan ti Trivy. Daytoy nga iskrip ket nainheniero a mangiruar kadagiti sekreto—kas dagiti token ti pagidulinan, dagiti kredensial ti mangipapaay ti ulep, ken dagiti tulbek ti API—iti adayo a serbidor a kontrolado ti manangraut. Ti nasikap a kinatao daytoy a panangraut ket adda iti kinaespesipikona; dagiti agparparang-ay nga agus-usar kadagiti nataltalged nga etiketa ti `@v0.48` wenno `@main` ket saan a naapektaran, ngem dagitoy a nangi-pin ti eksakto a nakompromiso nga etiketa ket dida ammo ket nangiyam-ammo ti kritikal a kinalaka a maapektaran iti tuboda.

Apay a Daytoy a Pasamak ket Aglalaok iti ballasiw ti Lubong ti DevOps

Ti kompromiso ti Trivy ket napateg gapu kadagiti sumagmamano a rason. Umuna, ti Trivy ket maysa a pundasional nga alikamen ti seguridad nga us-usaren ti minilion a mangi-scan kadagiti vulnerabilities kadagiti container ken code. Ti panangraut iti ramit ti seguridad dadaelenna ti pundasional a panagtalek a kasapulan para iti natalged a panagdur-as. Maikadua, itampokna ti dumakdakkel nga uso dagiti manangraut nga umakar iti "ngato ti ayus," a mangpuntiria kadagiti ramit ken panagpanpanunot a naibangon ti dadduma a software. Babaen ti panangsabidongda iti maysa a nasaknap a maus-usar a paset, mabalinda ti makagun-od iti pannakagun-od iti nalawa a network dagiti proyekto ken organisasion iti baba ti ayus. Daytoy a pasamak ket agserbi a kas maysa a kritikal a kaso a panagadal iti seguridad ti kadena ti suplay, a mangipakpakita nga awan ti ramit, urayno kasano ti kinalatak, ket saan a mausar a kas maysa a vektor ti panagraut.

Dagiti Dagus nga Addang tapno Matalged dagiti Aksyonmo iti GitHub

Iti panaglabas daytoy a pasamak, dagiti agparparang-ay ken dagiti grupo ti seguridad ket masapul nga agaramid kadagiti proaktibo a wagas tapno mapatangken dagiti panagayus ti trabahoda iti GitHub Actions. Ti panagkompiansa ti kabusor ti kinatalged. Adtoy dagiti nasken nga addang tapno maipatungpal a dagus:

Panangbangon ti Naandur a Pundasion babaen ti Mewayz

Bayat a napateg ti panangseguro kadagiti indibidual nga alikamen, ti pudno a kinaandur ket aggapu iti holistiko a wagas iti panagpataray ti negosiom. Dagiti pasamak a kas iti kompromiso ti Trivy ipalgakda dagiti nailemmeng a kinarikut ken peggad a naikabil kadagiti moderno a toolchain. Ti maysa a plataporma a kas ti Mewayz ket mangtaming daytoy babaen ti panangipaay ti nagkaykaysa, modular nga OS ti negosio a mangkissay ti panagsaknap ti panagpannuray ken mangisentralisa ti panagtengngel. Imbes a mang-juggle iti maysa a dosena a nagduduma a serbisio—tunggal maysa ket addaan iti bukodna a modelo ti seguridad ken siklo ti panagpabaro—ti Mewayz ket mangitipon kadagiti kangrunaan a panagandar a kas ti panagmanehar ti proyekto, CRM, ken panagtengngel ti dokumento iti maymaysa, natalged nga aglawlaw. Daytoy a panagtitipon ket mangkissay ti rabaw ti panagraut ken mangpasimple ti panagturay ti seguridad, a mangipalubos kadagiti grupo a mangipamaysa kadagiti panagbangon kadagiti tampok imbes a kanayon a mang-patch kadagiti kinaawan ti proteksion iti nabingbingay a bunton ti software. Iti lubong a ti maymaysa a nakompromiso nga etiketa ket mabalin a mangiturong iti dakkel a panaglabsing, ti naikaykaysa a seguridad ken dagiti naurnos nga operasion nga intukon ti Mewayz ket mangipaay ti ad-adu a makontrol ken ma-audit a pundasion para iti panagdur-as.