ପୁନର୍ବାର ଆକ୍ରମଣର ଶିକାର: ବ୍ୟାପକ ଗିଥ୍ ହବ୍ ଆକ୍ସନ୍ସ ଟ୍ୟାଗ୍ ଆପୋଷ ବୁ .ାମଣା | | Mewayz Blog Skip to main content
Hacker News

ପୁନର୍ବାର ଆକ୍ରମଣର ଶିକାର: ବ୍ୟାପକ ଗିଥ୍ ହବ୍ ଆକ୍ସନ୍ସ ଟ୍ୟାଗ୍ ଆପୋଷ ବୁ .ାମଣା |

ମନ୍ତବ୍ୟଗୁଡିକ

1 min read Via socket.dev

Mewayz Team

Editorial Team

Hacker News

ପୁନର୍ବାର ଆକ୍ରମଣରେ ତ୍ରୁଟି: ବିସ୍ତୃତ GitHub ଆକ୍ସନ୍ ଟ୍ୟାଗ୍ ଆପୋଷ ବୁ secret ାମଣା ରହସ୍ୟ

ସଫ୍ଟୱେର୍ ଯୋଗାଣ ଶୃଙ୍ଖଳାର ସୁରକ୍ଷା କେବଳ ଏହାର ଦୁର୍ବଳ ଲିଙ୍କ ପରି ଶକ୍ତିଶାଳୀ | ଅସଂଖ୍ୟ ବିକାଶ ଦଳ ପାଇଁ, ସେହି ଲିଙ୍କ୍ ଅତି ସାଧନ ହୋଇପାରିଛି ଯାହାକି ସେମାନେ ଦୁର୍ବଳତା ଖୋଜିବା ଉପରେ ନିର୍ଭର କରନ୍ତି | ଘଟଣାଗୁଡ଼ିକର ପରିପ୍ରେକ୍ଷୀରେ, କୁମ୍ଭ ସୁରକ୍ଷା ଦ୍ୱାରା ପରିଚାଳିତ ଏକ ଲୋକପ୍ରିୟ ମୁକ୍ତ ଉତ୍ସ ଦୁର୍ବଳତା ସ୍କାନର୍ ଟ୍ରାଇଭି ଏକ ଅତ୍ୟାଧୁନିକ ଆକ୍ରମଣର କେନ୍ଦ୍ରରେ ନିଜକୁ ପାଇଲା | ଦୁଷ୍ଟ ଅଭିନେତାମାନେ ଏହାର GitHub ଆକ୍ସନ୍ସ ରେପୋଜିଟୋରୀ ମଧ୍ୟରେ ଏକ ନିର୍ଦ୍ଦିଷ୍ଟ ସଂସ୍କରଣ ଟ୍ୟାଗ୍ (`v0.48.0`) କୁ ଆପୋଷ ବୁ .ାମଣା କରିଥିଲେ, ଏହାକୁ ବ୍ୟବହାର କରୁଥିବା ଯେକ work ଣସି କାର୍ଯ୍ୟ ପ୍ରବାହରୁ ସମ୍ବେଦନଶୀଳ ରହସ୍ୟ ଚୋରୀ କରିବା ପାଇଁ ଡିଜାଇନ୍ ହୋଇଥିବା କୋଡ୍ ଇଞ୍ଜେକ୍ସନ ଦେଇଥିଲେ | ଏହି ଘଟଣା ଏକ ସ୍ମରଣୀୟ ସ୍ମାରକ ଅଟେ ଯେ ଆମର ପରସ୍ପର ସହ ଜଡିତ ବିକାଶ ଇକୋସିଷ୍ଟମରେ, ବିଶ୍ trust ାସ କ୍ରମାଗତ ଭାବରେ ଯାଞ୍ଚ ହେବା ଆବଶ୍ୟକ, ଅନୁମାନ କରାଯାଏ ନାହିଁ |

ଟ୍ୟାଗ୍ ଆପ୍ରୋମାଇଜ୍ ଆଟାକ୍ ର ଆନାଟୋମି |

ଏହା ଟ୍ରାଇଭିର ମୂଳ ପ୍ରୟୋଗ ସଂକେତର ଉଲ୍ଲଂଘନ ନୁହେଁ, କିନ୍ତୁ ଏହାର CI / CD ସ୍ୱୟଂଚାଳିତର ଚତୁର ଉପଦ୍ରବ | ଆକ୍ରମଣକାରୀମାନେ GitHub ଆକ୍ସନ୍ସ ରେପୋଜିଟୋରୀକୁ ଟାର୍ଗେଟ କରି `v0.48.0` ଟ୍ୟାଗ୍ ପାଇଁ` action.yml` ଫାଇଲର ଏକ ଖରାପ ସଂସ୍କରଣ ସୃଷ୍ଟି କରିଥିଲେ | ଯେତେବେଳେ ଏକ ଡେଭଲପର୍ଙ୍କ ୱାର୍କଫ୍ଲୋ ଏହି ନିର୍ଦ୍ଦିଷ୍ଟ ଟ୍ୟାଗ୍ କୁ ସୂଚିତ କରେ, କ୍ରିୟା ଆଇନଗତ ଟ୍ରାଇଭି ସ୍କାନ୍ ଚଳାଇବା ପୂର୍ବରୁ ଏକ କ୍ଷତିକାରକ ସ୍କ୍ରିପ୍ଟ ଏକଜେକ୍ୟୁଟ୍ କରିବ | ଆକ୍ରମଣକାରୀଙ୍କ ଦ୍ୱାରା ନିୟନ୍ତ୍ରିତ ଏକ ସୁଦୂର ସର୍ଭରରେ - ଏହି ସଂଗ୍ରହାଳୟ ରହସ୍ୟ, ଯେପରିକି ସଂଗ୍ରହାଳୟ ଟୋକେନ, କ୍ଲାଉଡ୍ ପ୍ରଦାନକାରୀ ପରିଚୟପତ୍ର, ଏବଂ API ଚାବି - ଏହି ସ୍କ୍ରିପ୍ଟକୁ ଇଞ୍ଜିନିୟରିଂ କରାଯାଇଥିଲା | ଏହି ଆକ୍ରମଣର ଗୁପ୍ତ ପ୍ରକୃତି ଏହାର ନିର୍ଦ୍ଦିଷ୍ଟତା ମଧ୍ୟରେ ଅଛି; ନିରାପଦ "@ v0.48" କିମ୍ବା "@ ମେନ୍" ଟ୍ୟାଗ୍ ବ୍ୟବହାର କରୁଥିବା ଡେଭଲପର୍ମାନେ ପ୍ରଭାବିତ ହୋଇନଥିଲେ, କିନ୍ତୁ ଯେଉଁମାନେ ସଠିକ୍ ଆପୋଷ ଟ୍ୟାଗ୍ ପିନ୍ କରିଥିଲେ ସେମାନେ ଜାଣିଶୁଣି ସେମାନଙ୍କ ପାଇପଲାଇନରେ ଏକ ଗୁରୁତ୍ vulner ପୂର୍ଣ୍ଣ ଦୁର୍ବଳତା ଉପସ୍ଥାପନ କରିଥିଲେ |

କାହିଁକି ଏହି ଘଟଣା DevOps World

ରେ ପୁନ on ପ୍ରକାଶିତ ହୁଏ |

ଅନେକ କାରଣ ପାଇଁ ଟ୍ରାଇଭି ଆପୋଷ ବୁ significant ାମଣା ଗୁରୁତ୍ୱପୂର୍ଣ୍ଣ | ପ୍ରଥମେ, ଟ୍ରାଇଭି ହେଉଛି ଏକ ଭିତ୍ତିପ୍ରସ୍ତରୀୟ ସୁରକ୍ଷା ଉପକରଣ ଯାହା କଣ୍ଟେନର ଏବଂ କୋଡ଼ରେ ଥିବା ଦୁର୍ବଳତାକୁ ସ୍କାନ୍ କରିବା ପାଇଁ ଲକ୍ଷ ଲକ୍ଷ ଦ୍ୱାରା ବ୍ୟବହୃତ | ଏକ ସୁରକ୍ଷା ଉପକରଣ ଉପରେ ଆକ୍ରମଣ ନିରାପଦ ବିକାଶ ପାଇଁ ଆବଶ୍ୟକ ଭିତ୍ତିକ ବିଶ୍ୱାସକୁ କ୍ଷୟ କରିଥାଏ | ଦ୍ୱିତୀୟତ it, ଏହା ଅନ୍ୟ ସଫ୍ଟୱେର୍ ଉପରେ ନିର୍ମିତ ଉପକରଣ ଏବଂ ନିର୍ଭରଶୀଳତାକୁ ଟାର୍ଗେଟ କରି ଆକ୍ରମଣକାରୀଙ୍କ “ଅପଷ୍ଟ୍ରିମ୍” କୁ ବ growing ୁଥିବା ଧାରାକୁ ଆଲୋକିତ କରେ | ବହୁଳ ଭାବରେ ବ୍ୟବହୃତ ଉପାଦାନକୁ ବିଷ ଦେଇ, ସେମାନେ ସମ୍ଭବତ down ଡାଉନ୍ଷ୍ଟ୍ରିମ୍ ପ୍ରୋଜେକ୍ଟ ଏବଂ ସଂସ୍ଥାଗୁଡ଼ିକର ଏକ ବିସ୍ତୃତ ନେଟୱାର୍କକୁ ପ୍ରବେଶ କରିପାରିବେ | ଏହି ଘଟଣା ଯୋଗାଣ ଶୃଙ୍ଖଳା ନିରାପତ୍ତାରେ ଏକ ଗୁରୁତ୍ case ପୂର୍ଣ କେସ୍ ଷ୍ଟଡି ଭାବରେ କାର୍ଯ୍ୟ କରିଥାଏ, ଏହା ଦର୍ଶାଏ ଯେ କ tool ଣସି ଉପକରଣ, ଯେତେ ପ୍ରତିଷ୍ଠିତ ହେଲେ ମଧ୍ୟ ଆକ୍ରମଣ ଭେକ୍ଟର ଭାବରେ ବ୍ୟବହୃତ ହେବା ପ୍ରତିରୋଧକ ନୁହେଁ |

"ଏହି ଆକ୍ରମଣ ଡେଭଲପର୍ ଆଚରଣ ଏବଂ CI / CD ମେକାନିକ୍ସ ବିଷୟରେ ଏକ ଅତ୍ୟାଧୁନିକ ବୁ understanding ାମଣା ପ୍ରଦର୍ଶନ କରେ। ଏକ ନିର୍ଦ୍ଦିଷ୍ଟ ସଂସ୍କରଣ ଟ୍ୟାଗକୁ ସ୍ଥିର କରିବା ପାଇଁ ପ୍ରାୟତ a ସର୍ବୋତ୍ତମ ଅଭ୍ୟାସ ଭାବରେ ବିବେଚନା କରାଯାଏ, କିନ୍ତୁ ଏହି ଘଟଣା ଦର୍ଶାଏ ଯେ ଯଦି ସେହି ନିର୍ଦ୍ଦିଷ୍ଟ ସଂସ୍କରଣ ଆପୋଷ ସମାଧାନ ହୁଏ ତେବେ ଏହା ବିପଦ ମଧ୍ୟ ଆଣିପାରେ। ଶିକ୍ଷା ହେଉଛି ସୁରକ୍ଷା ଏକ ନିରନ୍ତର ପ୍ରକ୍ରିୟା, ଗୋଟିଏ ଥର ସେଟଅପ୍ ନୁହେଁ।"

ତୁମର GitHub କ୍ରିୟାଗୁଡ଼ିକୁ ସୁରକ୍ଷିତ କରିବା ପାଇଁ ତୁରନ୍ତ ପଦକ୍ଷେପ |

ଏହି ଘଟଣା ପରେ, ଡେଭଲପର୍ ଏବଂ ସୁରକ୍ଷା ଦଳ ନିଶ୍ଚିତ ଭାବରେ ସେମାନଙ୍କର GitHub ଆକ୍ସନ୍ ୱାର୍କଫ୍ଲୋକୁ କଠିନ କରିବାକୁ ସକ୍ରିୟ ପଦକ୍ଷେପ ଗ୍ରହଣ କରିବେ | ସନ୍ତୁଷ୍ଟତା ହେଉଛି ସୁରକ୍ଷାର ଶତ୍ରୁ | ତୁରନ୍ତ କାର୍ଯ୍ୟକାରୀ କରିବା ପାଇଁ ଏଠାରେ ଅତ୍ୟାବଶ୍ୟକ ପଦକ୍ଷେପ:

|
  • ଟ୍ୟାଗ୍ ବଦଳରେ SHA ପିନିଂ ବ୍ୟବହାର କରନ୍ତୁ: ସର୍ବଦା ସେମାନଙ୍କର ପୂର୍ଣ୍ଣ ପ୍ରତିବଦ୍ଧ ହ୍ୟାଶ୍ ଦ୍ୱାରା ରେଫରେନ୍ସ କ୍ରିୟାଗୁଡ଼ିକ (ଯଥା, `କାର୍ଯ୍ୟ / ଚେକଆଉଟ୍ @ a81bbbf8298c0fa03ea29cdc473d45769f953675`) | ଗ୍ୟାରେଣ୍ଟି ଦେବା ପାଇଁ ଏହା ହେଉଛି ଏକମାତ୍ର ଉପାୟ ଯାହାକି ଆପଣ କାର୍ଯ୍ୟର ଏକ ଅକ୍ଷୟ ସଂସ୍କରଣ ବ୍ୟବହାର କରୁଛନ୍ତି |
  • ତୁମର ସାମ୍ପ୍ରତିକ କାର୍ଯ୍ୟଧାରାକୁ ଅଡିଟ୍ କର: ତୁମର `.github / ୱାର୍କଫ୍ଲୋ 'ଡିରେକ୍ଟୋରୀକୁ ଯାଞ୍ଚ କର | ଟ୍ୟାଗ୍ଗୁଡ଼ିକରେ ପିନ୍ ହୋଇଥିବା କ actions ଣସି କାର୍ଯ୍ୟକୁ ଚିହ୍ନଟ କରନ୍ତୁ ଏବଂ ସେମାନଙ୍କୁ SHA କରିବାକୁ ସୁଇଚ୍ କରନ୍ତୁ, ବିଶେଷତ critical ଗୁରୁତ୍ security ପୂର୍ଣ୍ଣ ସୁରକ୍ଷା ଉପକରଣଗୁଡ଼ିକ ପାଇଁ |
  • ଲିଭର୍ ଗିଥ୍ ହବ୍ ର ସୁରକ୍ଷା ବ features ଶିଷ୍ଟ୍ୟଗୁଡିକ: ଆବଶ୍ୟକ ସ୍ଥିତି ଯାଞ୍ଚଗୁଡିକ ସକ୍ଷମ କରନ୍ତୁ ଏବଂ ଆପୋଷ କାର୍ଯ୍ୟରୁ ସମ୍ଭାବ୍ୟ କ୍ଷତି ହ୍ରାସ କରିବାକୁ ଡିଫଲ୍ଟ ଭାବରେ କେବଳ ପ read ଼ିବା ପାଇଁ ସେଟିଂ ସେଟ୍ କରନ୍ତୁ |
  • ଅସାଧାରଣ କାର୍ଯ୍ୟକଳାପ ପାଇଁ ମନିଟର: ଆପଣଙ୍କର CI / CD ପାଇପଲାଇନ ପାଇଁ ଅପ୍ରତ୍ୟାଶିତ ବାହ୍ୟ ନେଟୱାର୍କ ସଂଯୋଗ କିମ୍ବା ଆପଣଙ୍କର ରହସ୍ୟ ବ୍ୟବହାର କରି ଅନଧିକୃତ ପ୍ରବେଶ ପ୍ରୟାସକୁ ଚିହ୍ନଟ କରିବା ପାଇଁ ଲଗିଂ ଏବଂ ମନିଟରିଂ କାର୍ଯ୍ୟକାରୀ କରନ୍ତୁ |

ମେୱାଇଜ୍ ସହିତ ଏକ ସ୍ଥାୟୀ ଫାଉଣ୍ଡେସନ୍ ନିର୍ମାଣ |

ବ୍ୟକ୍ତିଗତ ଉପକରଣଗୁଡିକ ସୁରକ୍ଷିତ କରିବା ଅତ୍ୟନ୍ତ ଗୁରୁତ୍ୱପୂର୍ଣ୍ଣ, ପ୍ରକୃତ ସ୍ଥିରତା ଆପଣଙ୍କ ବ୍ୟବସାୟ କାର୍ଯ୍ୟ ପାଇଁ ଏକ ସାମଗ୍ରିକ ଆଭିମୁଖ୍ୟରୁ ଆସିଥାଏ | ଟ୍ରାଇଭି ଆପୋଷ ବୁ like ାମଣା ପରି ଘଟଣା ଆଧୁନିକ ଟୁଲ୍ ଚେନ୍ରେ ସନ୍ନିବେଶିତ ଲୁକ୍କାୟିତ ଜଟିଳତା ଏବଂ ବିପଦକୁ ପ୍ରକାଶ କରିଥାଏ | ମେୱାଇଜ୍ ପରି ଏକ ପ୍ଲାଟଫର୍ମ ଏକ ଏକୀକୃତ, ମଡ୍ୟୁଲାର୍ ବ୍ୟବସାୟ OS ପ୍ରଦାନ କରି ଏହାକୁ ସମ୍ବୋଧିତ କରେ ଯାହା ନିର୍ଭରଶୀଳତାକୁ ହ୍ରାସ କରିଥାଏ ଏବଂ ନିୟନ୍ତ୍ରଣକୁ କେନ୍ଦ୍ରୀଭୂତ କରିଥାଏ | ଏକ ଡଜନେ ଭିନ୍ନ ସେବା ଜଗିଂ କରିବା ପରିବର୍ତ୍ତେ - ପ୍ରତ୍ୟେକର ନିଜସ୍ୱ ସୁରକ୍ଷା ମଡେଲ୍ ଏବଂ ଅପଡେଟ୍ ଚକ୍ର ସହିତ - ମେୱାଇଜ୍ ପ୍ରୋଜେକ୍ଟ ମ୍ୟାନେଜମେଣ୍ଟ, CRM, ଏବଂ ଡକ୍ୟୁମେଣ୍ଟ୍ ହ୍ୟାଣ୍ଡଲିଂକୁ ଏକ ସୁରକ୍ଷିତ ପରିବେଶରେ ଏକତ୍ର କରିଥାଏ | ଏହି ଏକୀକରଣ ଆକ୍ରମଣ ପୃଷ୍ଠକୁ କମ୍ କରିଥାଏ ଏବଂ ସୁରକ୍ଷା ଶାସନକୁ ସରଳ କରିଥାଏ, ଦଳଗୁଡ଼ିକୁ ଏକ ଖଣ୍ଡବିଖଣ୍ଡିତ ସଫ୍ଟୱେର୍ ଷ୍ଟାକରେ ଦୁର୍ବଳତାକୁ ଲଗାଇବା ପରିବର୍ତ୍ତେ ନିର୍ମାଣ ବ features ଶିଷ୍ଟ୍ୟ ଉପରେ ଧ୍ୟାନ ଦେବାକୁ ଅନୁମତି ଦେଇଥାଏ | ଏକ ଦୁନିଆରେ ଯେଉଁଠାରେ ଏକକ ଆପୋଷ ବୁ tag ାମଣା ଏକ ପ୍ରମୁଖ ଉଲ୍ଲଂଘନକୁ ନେଇପାରେ, ମେୱାଇଜ୍ ଦ୍ offered ାରା ପ୍ରଦାନ କରାଯାଇଥିବା ସମନ୍ୱିତ ସୁରକ୍ଷା ଏବଂ ଶୃଙ୍ଖଳିତ କାର୍ଯ୍ୟ ଅଭିବୃଦ୍ଧି ପାଇଁ ଅଧିକ ନିୟନ୍ତ୍ରିତ ଏବଂ ଅଡିଟିଭ୍ ଫାଉଣ୍ଡେସନ୍ ପ୍ରଦାନ କରିଥାଏ |

💡 DID YOU KNOW?

Mewayz replaces 8+ business tools in one platform

CRM · Invoicing · HR · Projects · Booking · eCommerce · POS · Analytics. Free forever plan available.

Start Free →

ବାରମ୍ବାର ପଚରାଯାଉଥିବା ପ୍ରଶ୍ନ |

ପୁନର୍ବାର ଆକ୍ରମଣରେ ତ୍ରୁଟି: ବିସ୍ତୃତ GitHub ଆକ୍ସନ୍ ଟ୍ୟାଗ୍ ଆପୋଷ ବୁ secret ାମଣା ରହସ୍ୟ

ସଫ୍ଟୱେର୍ ଯୋଗାଣ ଶୃଙ୍ଖଳାର ସୁରକ୍ଷା କେବଳ ଏହାର ଦୁର୍ବଳ ଲିଙ୍କ ପରି ଶକ୍ତିଶାଳୀ | ଅସଂଖ୍ୟ ବିକାଶ ଦଳ ପାଇଁ, ସେହି ଲିଙ୍କ୍ ଅତି ସାଧନ ହୋଇପାରିଛି ଯାହାକି ସେମାନେ ଦୁର୍ବଳତା ଖୋଜିବା ଉପରେ ନିର୍ଭର କରନ୍ତି | ଘଟଣାଗୁଡ଼ିକର ପରିପ୍ରେକ୍ଷୀରେ, କୁମ୍ଭ ସୁରକ୍ଷା ଦ୍ୱାରା ପରିଚାଳିତ ଏକ ଲୋକପ୍ରିୟ ମୁକ୍ତ ଉତ୍ସ ଦୁର୍ବଳତା ସ୍କାନର୍ ଟ୍ରାଇଭି ଏକ ଅତ୍ୟାଧୁନିକ ଆକ୍ରମଣର କେନ୍ଦ୍ରରେ ନିଜକୁ ପାଇଲା | ଦୁଷ୍ଟ ଅଭିନେତାମାନେ ଏହାର GitHub ଆକ୍ସନ୍ସ ରେପୋଜିଟୋରୀ ମଧ୍ୟରେ ଏକ ନିର୍ଦ୍ଦିଷ୍ଟ ସଂସ୍କରଣ ଟ୍ୟାଗ୍ (`v0.48.0`) କୁ ଆପୋଷ ବୁ .ାମଣା କରିଥିଲେ, ଏହାକୁ ବ୍ୟବହାର କରୁଥିବା ଯେକ work ଣସି କାର୍ଯ୍ୟ ପ୍ରବାହରୁ ସମ୍ବେଦନଶୀଳ ରହସ୍ୟ ଚୋରୀ କରିବା ପାଇଁ ଡିଜାଇନ୍ ହୋଇଥିବା କୋଡ୍ ଇଞ୍ଜେକ୍ସନ ଦେଇଥିଲେ | ଏହି ଘଟଣା ଏକ ସ୍ମରଣୀୟ ସ୍ମାରକ ଅଟେ ଯେ ଆମର ପରସ୍ପର ସହ ଜଡିତ ବିକାଶ ଇକୋସିଷ୍ଟମରେ, ବିଶ୍ trust ାସ କ୍ରମାଗତ ଭାବରେ ଯାଞ୍ଚ ହେବା ଆବଶ୍ୟକ, ଅନୁମାନ କରାଯାଏ ନାହିଁ |

ଟ୍ୟାଗ୍ ଆପ୍ରୋମାଇଜ୍ ଆଟାକ୍ ର ଆନାଟୋମି |

ଏହା ଟ୍ରାଇଭିର ମୂଳ ପ୍ରୟୋଗ ସଂକେତର ଉଲ୍ଲଂଘନ ନୁହେଁ, କିନ୍ତୁ ଏହାର CI / CD ସ୍ୱୟଂଚାଳିତର ଚତୁର ଉପଦ୍ରବ | ଆକ୍ରମଣକାରୀମାନେ GitHub ଆକ୍ସନ୍ସ ରେପୋଜିଟୋରୀକୁ ଟାର୍ଗେଟ କରି `v0.48.0` ଟ୍ୟାଗ୍ ପାଇଁ` action.yml` ଫାଇଲର ଏକ ଖରାପ ସଂସ୍କରଣ ସୃଷ୍ଟି କରିଥିଲେ | ଯେତେବେଳେ ଏକ ଡେଭଲପର୍ଙ୍କ ୱାର୍କଫ୍ଲୋ ଏହି ନିର୍ଦ୍ଦିଷ୍ଟ ଟ୍ୟାଗ୍ କୁ ସୂଚିତ କରେ, କ୍ରିୟା ଆଇନଗତ ଟ୍ରାଇଭି ସ୍କାନ୍ ଚଳାଇବା ପୂର୍ବରୁ ଏକ କ୍ଷତିକାରକ ସ୍କ୍ରିପ୍ଟ ଏକଜେକ୍ୟୁଟ୍ କରିବ | ଆକ୍ରମଣକାରୀଙ୍କ ଦ୍ୱାରା ନିୟନ୍ତ୍ରିତ ଏକ ସୁଦୂର ସର୍ଭରରେ - ଏହି ସଂଗ୍ରହାଳୟ ରହସ୍ୟ, ଯେପରିକି ସଂଗ୍ରହାଳୟ ଟୋକେନ, କ୍ଲାଉଡ୍ ପ୍ରଦାନକାରୀ ପରିଚୟପତ୍ର, ଏବଂ API ଚାବି - ଏହି ସ୍କ୍ରିପ୍ଟକୁ ଇଞ୍ଜିନିୟରିଂ କରାଯାଇଥିଲା | ଏହି ଆକ୍ରମଣର ଗୁପ୍ତ ପ୍ରକୃତି ଏହାର ନିର୍ଦ୍ଦିଷ୍ଟତା ମଧ୍ୟରେ ଅଛି; ନିରାପଦ "@ v0.48" କିମ୍ବା "@ ମେନ୍" ଟ୍ୟାଗ୍ ବ୍ୟବହାର କରୁଥିବା ଡେଭଲପର୍ମାନେ ପ୍ରଭାବିତ ହୋଇନଥିଲେ, କିନ୍ତୁ ଯେଉଁମାନେ ସଠିକ୍ ଆପୋଷ ଟ୍ୟାଗ୍ ପିନ୍ କରିଥିଲେ ସେମାନେ ଜାଣିଶୁଣି ସେମାନଙ୍କ ପାଇପଲାଇନରେ ଏକ ଗୁରୁତ୍ vulner ପୂର୍ଣ୍ଣ ଦୁର୍ବଳତା ଉପସ୍ଥାପନ କରିଥିଲେ |

କାହିଁକି ଏହି ଘଟଣା DevOps World

ରେ ପୁନ on ପ୍ରକାଶିତ ହୁଏ |

ଅନେକ କାରଣ ପାଇଁ ଟ୍ରାଇଭି ଆପୋଷ ବୁ significant ାମଣା ଗୁରୁତ୍ୱପୂର୍ଣ୍ଣ | ପ୍ରଥମେ, ଟ୍ରାଇଭି ହେଉଛି ଏକ ଭିତ୍ତିପ୍ରସ୍ତରୀୟ ସୁରକ୍ଷା ଉପକରଣ ଯାହା କଣ୍ଟେନର ଏବଂ କୋଡ଼ରେ ଥିବା ଦୁର୍ବଳତାକୁ ସ୍କାନ୍ କରିବା ପାଇଁ ଲକ୍ଷ ଲକ୍ଷ ଦ୍ୱାରା ବ୍ୟବହୃତ | ଏକ ସୁରକ୍ଷା ଉପକରଣ ଉପରେ ଆକ୍ରମଣ ନିରାପଦ ବିକାଶ ପାଇଁ ଆବଶ୍ୟକ ଭିତ୍ତିକ ବିଶ୍ୱାସକୁ କ୍ଷୟ କରିଥାଏ | ଦ୍ୱିତୀୟତ it, ଏହା ଅନ୍ୟ ସଫ୍ଟୱେର୍ ଉପରେ ନିର୍ମିତ ଉପକରଣ ଏବଂ ନିର୍ଭରଶୀଳତାକୁ ଟାର୍ଗେଟ କରି ଆକ୍ରମଣକାରୀଙ୍କ “ଅପଷ୍ଟ୍ରିମ୍” କୁ ବ growing ୁଥିବା ଧାରାକୁ ଆଲୋକିତ କରେ | ବହୁଳ ଭାବରେ ବ୍ୟବହୃତ ଉପାଦାନକୁ ବିଷ ଦେଇ, ସେମାନେ ସମ୍ଭବତ down ଡାଉନ୍ଷ୍ଟ୍ରିମ୍ ପ୍ରୋଜେକ୍ଟ ଏବଂ ସଂସ୍ଥାଗୁଡ଼ିକର ଏକ ବିସ୍ତୃତ ନେଟୱାର୍କକୁ ପ୍ରବେଶ କରିପାରିବେ | ଏହି ଘଟଣା ଯୋଗାଣ ଶୃଙ୍ଖଳା ନିରାପତ୍ତାରେ ଏକ ଗୁରୁତ୍ case ପୂର୍ଣ କେସ୍ ଷ୍ଟଡି ଭାବରେ କାର୍ଯ୍ୟ କରିଥାଏ, ଏହା ଦର୍ଶାଏ ଯେ କ tool ଣସି ଉପକରଣ, ଯେତେ ପ୍ରତିଷ୍ଠିତ ହେଲେ ମଧ୍ୟ ଆକ୍ରମଣ ଭେକ୍ଟର ଭାବରେ ବ୍ୟବହୃତ ହେବା ପ୍ରତିରୋଧକ ନୁହେଁ |

ତୁମର GitHub କ୍ରିୟାଗୁଡ଼ିକୁ ସୁରକ୍ଷିତ କରିବା ପାଇଁ ତୁରନ୍ତ ପଦକ୍ଷେପ |

ଏହି ଘଟଣା ପରେ, ଡେଭଲପର୍ ଏବଂ ସୁରକ୍ଷା ଦଳ ନିଶ୍ଚିତ ଭାବରେ ସେମାନଙ୍କର GitHub ଆକ୍ସନ୍ ୱାର୍କଫ୍ଲୋକୁ କଠିନ କରିବାକୁ ସକ୍ରିୟ ପଦକ୍ଷେପ ଗ୍ରହଣ କରିବେ | ସନ୍ତୁଷ୍ଟତା ହେଉଛି ସୁରକ୍ଷାର ଶତ୍ରୁ | ତୁରନ୍ତ କାର୍ଯ୍ୟକାରୀ କରିବା ପାଇଁ ଏଠାରେ ଅତ୍ୟାବଶ୍ୟକ ପଦକ୍ଷେପ:

|

ମେୱାଇଜ୍ ସହିତ ଏକ ସ୍ଥାୟୀ ଫାଉଣ୍ଡେସନ୍ ନିର୍ମାଣ |

ବ୍ୟକ୍ତିଗତ ଉପକରଣଗୁଡିକ ସୁରକ୍ଷିତ କରିବା ଅତ୍ୟନ୍ତ ଗୁରୁତ୍ୱପୂର୍ଣ୍ଣ, ପ୍ରକୃତ ସ୍ଥିରତା ଆପଣଙ୍କ ବ୍ୟବସାୟ କାର୍ଯ୍ୟ ପାଇଁ ଏକ ସାମଗ୍ରିକ ଆଭିମୁଖ୍ୟରୁ ଆସିଥାଏ | ଟ୍ରାଇଭି ଆପୋଷ ବୁ like ାମଣା ପରି ଘଟଣା ଆଧୁନିକ ଟୁଲ୍ ଚେନ୍ରେ ସନ୍ନିବେଶିତ ଲୁକ୍କାୟିତ ଜଟିଳତା ଏବଂ ବିପଦକୁ ପ୍ରକାଶ କରିଥାଏ | ମେୱାଇଜ୍ ପରି ଏକ ପ୍ଲାଟଫର୍ମ ଏକ ଏକୀକୃତ, ମଡ୍ୟୁଲାର୍ ବ୍ୟବସାୟ OS ପ୍ରଦାନ କରି ଏହାକୁ ସମ୍ବୋଧିତ କରେ ଯାହା ନିର୍ଭରଶୀଳତାକୁ ହ୍ରାସ କରିଥାଏ ଏବଂ ନିୟନ୍ତ୍ରଣକୁ କେନ୍ଦ୍ରୀଭୂତ କରିଥାଏ | ଏକ ଡଜନେ ଭିନ୍ନ ସେବା ଜଗିଂ କରିବା ପରିବର୍ତ୍ତେ - ପ୍ରତ୍ୟେକର ନିଜସ୍ୱ ସୁରକ୍ଷା ମଡେଲ୍ ଏବଂ ଅପଡେଟ୍ ଚକ୍ର ସହିତ - ମେୱାଇଜ୍ ପ୍ରୋଜେକ୍ଟ ମ୍ୟାନେଜମେଣ୍ଟ, CRM, ଏବଂ ଡକ୍ୟୁମେଣ୍ଟ୍ ହ୍ୟାଣ୍ଡଲିଂକୁ ଏକ ସୁରକ୍ଷିତ ପରିବେଶରେ ଏକତ୍ର କରିଥାଏ | ଏହି ଏକୀକରଣ ଆକ୍ରମଣ ପୃଷ୍ଠକୁ କମ୍ କରିଥାଏ ଏବଂ ସୁରକ୍ଷା ଶାସନକୁ ସରଳ କରିଥାଏ, ଦଳଗୁଡ଼ିକୁ ଏକ ଖଣ୍ଡବିଖଣ୍ଡିତ ସଫ୍ଟୱେର୍ ଷ୍ଟାକରେ ଦୁର୍ବଳତାକୁ ଲଗାଇବା ପରିବର୍ତ୍ତେ ନିର୍ମାଣ ବ features ଶିଷ୍ଟ୍ୟ ଉପରେ ଧ୍ୟାନ ଦେବାକୁ ଅନୁମତି ଦେଇଥାଏ | ଏକ ଦୁନିଆରେ ଯେଉଁଠାରେ ଏକକ ଆପୋଷ ବୁ tag ାମଣା ଏକ ପ୍ରମୁଖ ଉଲ୍ଲଂଘନକୁ ନେଇପାରେ, ମେୱାଇଜ୍ ଦ୍ offered ାରା ପ୍ରଦାନ କରାଯାଇଥିବା ସମନ୍ୱିତ ସୁରକ୍ଷା ଏବଂ ଶୃଙ୍ଖଳିତ କାର୍ଯ୍ୟ ଅଭିବୃଦ୍ଧି ପାଇଁ ଅଧିକ ନିୟନ୍ତ୍ରିତ ଏବଂ ଅଡିଟିଭ୍ ଫାଉଣ୍ଡେସନ୍ ପ୍ରଦାନ କରିଥାଏ |

ଆଜି ଆପଣଙ୍କର ବ୍ୟବସାୟ OS ନିର୍ମାଣ କରନ୍ତୁ

ଫ୍ରିଲାନ୍ସର୍ ଠାରୁ ଆରମ୍ଭ କରି ଏଜେନ୍ସି ପର୍ଯ୍ୟନ୍ତ, ମେୱାଇଜ୍ 208 ଇଣ୍ଟିଗ୍ରେଟେଡ୍ ମଡ୍ୟୁଲ୍ ସହିତ 138,000+ ବ୍ୟବସାୟକୁ ଶକ୍ତି ପ୍ରଦାନ କରେ | ମାଗଣା ଆରମ୍ଭ କର, ଯେତେବେଳେ ତୁମେ ବ grow ଼ିବ ଅପଗ୍ରେଡ୍ କର |

ମାଗଣା ଖାତା ସୃଷ୍ଟି କରନ୍ତୁ →
<ସ୍କ୍ରିପ୍ଟ ପ୍ରକାର = "ଆପ୍ଲିକେସନ୍ ରହସ୍ୟ "," url ":" https://mewayz.shop/blog/trivy-under-attack-again-widesread-github-actions-tag-compromise-secrets "," datePublished ":" 2026-03-24T10: 54: 22 + 00: 00 "," dateModified ":" 2026-03-2 " 4T10: 54: 22 + 00: 00 "," ଲେଖକ ": {" @ ପ୍ରକାର ":" ସଂଗଠନ "," ନାମ ":" ମେୱାଇଜ୍ "," url ":" https://mewayz.shop "}," ପ୍ରକାଶକ ": {" @ ପ୍ରକାର ":" ସଂଗଠନ "," ନାମ ":" ମେୱାଇଜ୍ "," url ":" https://} <ସ୍କ୍ରିପ୍ଟ ପ୍ରକାର = "ପ୍ରୟୋଗ / ld + json"> {"@context": "https://schema.org", "@ ପ୍ରକାର": "FAQPage", "mainEntity": ସଫ୍ଟୱେର୍ ଯୋଗାଣ ଶୃଙ୍ଖଳାର ସୁରକ୍ଷା କେବଳ ଏହାର ଦୁର୍ବଳ ଲିଙ୍କ ପରି ଶକ୍ତିଶାଳୀ | ଅସଂଖ୍ୟ ବିକାଶ ଦଳ ପାଇଁ, ସେହି ଲିଙ୍କ୍ ଅତି ଦୁର୍ବଳତା ଖୋଜିବା ପାଇଁ ନିର୍ଭର କରୁଥିବା ସାଧନ ପାଲଟିଛି | ଆକ୍ୱା ସିକ୍ୟୁରିଟି ଦ୍ୱାରା ପରିଚାଳିତ ଏକ ଲୋକପ୍ରିୟ ଓପନ୍ ସୋର୍ସ ଦୁର୍ବଳତା ସ୍କାନର୍, ଏକ ନିର୍ଦ୍ଦିଷ୍ଟ ସଂସ୍କରଣର ଟ୍ୟାଗ୍ (G0.48.0) ରେ ଆପତ୍ତିଜନକ କାର୍ଯ୍ୟ କରିଛି | ଏହା ବ୍ୟବହାର କରିଥିଲା। ଏହି ଘଟଣାଟି ଏକ ସ୍ମରଣୀୟ ସ୍ମାରକ ଅଟେ ଯେ ଆମର ପରସ୍ପର ସହ ଜଡିତ ବିକାଶ ଇକୋସିଷ୍ଟମରେ ବିଶ୍ trust ାସ କ୍ରମାଗତ ଭାବରେ ଯାଞ୍ଚ ହେବା ଆବଶ୍ୟକ, ଅନୁମାନ କରାଯାଏ ନାହିଁ। ଆକ୍ରମଣକାରୀମାନେ “v0.48.0” ଟ୍ୟାଗ୍ ପାଇଁ “action.yml” ଫାଇଲ୍ ର ଏକ ଦୁର୍ଦ୍ଦାନ୍ତ ସଂସ୍କରଣ ସୃଷ୍ଟି କରି GitHub ଆକ୍ସନ୍ସ ରେପୋଜିଟୋରୀକୁ ଟାର୍ଗେଟ କରିଥିଲେ, ଯେତେବେଳେ ଏକ ଡେଭଲପର୍ଙ୍କ ୱାର୍କଫ୍ଲୋ ଏହି ନିର୍ଦ୍ଦିଷ୍ଟ ଟ୍ୟାଗ୍ କୁ ସୂଚୀତ କରେ, ଏହି ସ୍କ୍ରିପ୍ଟଟି ସୁଦୂର ପ୍ରକୃତିର ସର୍ଚ୍ଚ କିଗୁଡ଼ିକୁ ନିୟନ୍ତ୍ରଣ କରିବା ପାଇଁ ଇଞ୍ଜିନିୟରିଂ କରାଯାଇଥିଲା | ଏହି ଆକ୍ରମଣ ଏହାର ନିର୍ଦ୍ଦିଷ୍ଟତା ମଧ୍ୟରେ ଅଛି, ନିରାପଦ "@ v0.48" କିମ୍ବା "@ ମେନ୍" ଟ୍ୟାଗ୍ ବ୍ୟବହାର କରୁଥିବା ଡେଭଲପର୍ମାନେ ପ୍ରଭାବିତ ହୋଇନଥିଲେ, କିନ୍ତୁ ଯେଉଁମାନେ ସଠିକ୍ ଆପୋଷ ବୁ tag ାମଣାକୁ ଜାଣିଶୁଣି ସେମାନଙ୍କ ପାଇପଲାଇନରେ ଏକ ଗୁରୁତ୍ vulner ପୂର୍ଣ୍ଣ ଦୁର୍ବଳତା ପ୍ରବର୍ତ୍ତାଇଥିଲେ। ଅନେକ କାରଣ ପାଇଁ, ଟ୍ରାଇଭି ହେଉଛି ଏକ ଭିତ୍ତିପ୍ରସ୍ତରୀୟ ସୁରକ୍ଷା ସାଧନ ଯାହା କଣ୍ଟେନର ଏବଂ କୋଡ଼ରେ ଥିବା ଦୁର୍ବଳତା ପାଇଁ ସ୍କାନ୍ କରିବା ପାଇଁ ବ୍ୟବହୃତ ହୁଏ | ଦର୍ଶାଉଛି ଯେ କ tool ଣସି ଉପକରଣ, ଯେତେ ଖ୍ୟାତିସମ୍ପନ୍ନ, ଆକ୍ରମଣ ଭେକ୍ଟର ଭାବରେ ବ୍ୟବହୃତ ହେବା ପାଇଁ ପ୍ରତିରୋଧକ ନୁହେଁ ତୁରନ୍ତ କାର୍ଯ୍ୟକାରୀ କରିବା ପାଇଁ ଏଠାରେ ଆବଶ୍ୟକୀୟ ପଦକ୍ଷେପଗୁଡିକ ଅଛି: "}}, {" @ ପ୍ରକାର ":" ପ୍ରଶ୍ନ "," ନାମ ":" ମେୱାଇଜ୍ ସହିତ ଏକ ସ୍ଥିର ଫାଉଣ୍ଡେସନ୍ ଗଠନ "," ଗ୍ରହଣ କରାଯାଇଥିବା ଉତ୍ତର ": {" @ ପ୍ରକାର ":" ଉତ୍ତର "," ପାଠ୍ୟ ":" ବ୍ୟକ୍ତିଗତ ସାଧନଗୁଡିକ ସୁରକ୍ଷିତ ରଖିବା ସହିତ ଟ୍ରାଇଭିରେ ଏକ ଜଟିଳ ଆପୋଷ ବୁ .ାମଣା ଅଟେ | ଏକୀକୃତ, ମଡ୍ୟୁଲାର୍ ବ୍ୟବସାୟ OS ପ୍ରଦାନ କରି ଏହାକୁ ସମାଧାନ କରେ ଯାହା ନିର୍ଭରଶୀଳତାକୁ ହ୍ରାସ କରିଥାଏ ଏବଂ ନିୟନ୍ତ୍ରଣକୁ କେନ୍ଦ୍ରୀଭୂତ କରିଥାଏ | ପ୍ରତ୍ୟେକଟି ନିଜସ୍ୱ ସୁରକ୍ଷା ମଡେଲ୍ ଏବଂ ଅପଡେଟ୍ ଚକ୍ର ସହିତ ଜଗିଂ କରିବା ପରିବର୍ତ୍ତେ - ମେୱାଇଜ୍ ପ୍ରୋଜେକ୍ଟ ମ୍ୟାନେଜମେଣ୍ଟ, CRM ଏବଂ ଡକ୍ୟୁମେଣ୍ଟ୍ ହ୍ୟାଣ୍ଡଲିଂକୁ ଏକକ, ସୁରକ୍ଷିତ ପରିବେଶରେ ଏକତ୍ର କରିଥାଏ, ଯେଉଁଠାରେ ଦଳଗୁଡିକ ଏକ ଦୁର୍ବଳତାକୁ ବଞ୍ଚାଇଥାଏ | ଟ୍ୟାଗ୍ ଏକ ପ୍ରମୁଖ ଉଲ୍ଲଂଘନକୁ ନେଇପାରେ, ମେୱେଜ୍ ଦ୍ offered ାରା ପ୍ରଦାନ କରାଯାଇଥିବା ସମନ୍ୱିତ ସୁରକ୍ଷା ଏବଂ ଶୃଙ୍ଖଳିତ କାର୍ଯ୍ୟଗୁଡିକ ଅଭିବୃଦ୍ଧି ପାଇଁ ଅଧିକ ନିୟନ୍ତ୍ରିତ ଏବଂ ଅଡିଟିଭ୍ ଫାଉଣ୍ଡେସନ୍ ପ୍ରଦାନ କରିଥାଏ | "}}]}

Try Mewayz Free

All-in-one platform for CRM, invoicing, projects, HR & more. No credit card required.

Start Free Try Demo

Start managing your business smarter today

Join 6,208+ businesses. Free forever plan · No credit card required.

Start Free → Watch Demo
Found this useful? Share it.
X / Twitter LinkedIn Facebook WhatsApp

Ready to put this into practice?

Join 6,208+ businesses using Mewayz. Free forever plan — no credit card required.

Start Free Trial →

Related articles

Hacker News

The insider trading suspicions looming over Trump's presidency

Apr 20, 2026

Hacker News

Claude Token Counter, now with model comparisons

Apr 20, 2026

Hacker News

Show HN: A lightweight way to make agents talk without paying for API usage

Apr 20, 2026

 Show HN: TRELLIS.2 image-to-3D running on Mac Silicon – no Nvidia GPU needed

Hacker News

Show HN: TRELLIS.2 image-to-3D running on Mac Silicon – no Nvidia GPU needed

Apr 20, 2026

Hacker News

Sudo for Windows

Apr 19, 2026

 Swiss AI Initiative (2023)

Hacker News

Swiss AI Initiative (2023)

Apr 19, 2026

Ready to take action?

Start your free Mewayz trial today

All-in-one business platform. No credit card required.

Start Free →

14-day free trial · No credit card · Cancel anytime