ਟ੍ਰੀਵੀ ਦੁਬਾਰਾ ਹਮਲੇ ਦੇ ਅਧੀਨ: ਵਿਆਪਕ GitHub ਐਕਸ਼ਨ ਟੈਗ ਸਮਝੌਤਾ ਰਾਜ਼
ਟਿੱਪਣੀਆਂ
Mewayz Team
Editorial Team
ਮੁੜ ਹਮਲੇ ਦੇ ਅਧੀਨ: ਵਿਆਪਕ GitHub ਐਕਸ਼ਨ ਟੈਗ ਸਮਝੌਤਾ ਭੇਦ
ਸਾਫਟਵੇਅਰ ਸਪਲਾਈ ਚੇਨ ਦੀ ਸੁਰੱਖਿਆ ਇਸਦੀ ਸਭ ਤੋਂ ਕਮਜ਼ੋਰ ਲਿੰਕ ਜਿੰਨੀ ਹੀ ਮਜ਼ਬੂਤ ਹੈ। ਅਣਗਿਣਤ ਵਿਕਾਸ ਟੀਮਾਂ ਲਈ, ਉਹ ਲਿੰਕ ਉਹ ਸਾਧਨ ਬਣ ਗਏ ਹਨ ਜਿਨ੍ਹਾਂ 'ਤੇ ਉਹ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਲੱਭਣ ਲਈ ਭਰੋਸਾ ਕਰਦੇ ਹਨ। ਘਟਨਾਵਾਂ ਦੇ ਇੱਕ ਮੋੜ ਵਿੱਚ, ਟ੍ਰੀਵੀ, ਇੱਕ ਪ੍ਰਸਿੱਧ ਓਪਨ-ਸਰੋਤ ਕਮਜ਼ੋਰੀ ਸਕੈਨਰ ਜੋ Aqua ਸੁਰੱਖਿਆ ਦੁਆਰਾ ਬਣਾਈ ਗਈ ਹੈ, ਨੇ ਆਪਣੇ ਆਪ ਨੂੰ ਇੱਕ ਵਧੀਆ ਹਮਲੇ ਦੇ ਕੇਂਦਰ ਵਿੱਚ ਪਾਇਆ। ਖ਼ਰਾਬ ਅਦਾਕਾਰਾਂ ਨੇ ਇਸਦੇ GitHub ਐਕਸ਼ਨ ਰਿਪੋਜ਼ਟਰੀ ਦੇ ਅੰਦਰ ਇੱਕ ਖਾਸ ਸੰਸਕਰਣ ਟੈਗ (`v0.48.0`) ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ, ਇਸਦੀ ਵਰਤੋਂ ਕਰਨ ਵਾਲੇ ਕਿਸੇ ਵੀ ਵਰਕਫਲੋ ਤੋਂ ਸੰਵੇਦਨਸ਼ੀਲ ਭੇਦ ਚੋਰੀ ਕਰਨ ਲਈ ਬਣਾਏ ਗਏ ਕੋਡ ਨੂੰ ਇੰਜੈਕਟ ਕਰਦੇ ਹੋਏ। ਇਹ ਘਟਨਾ ਇੱਕ ਪੂਰੀ ਤਰ੍ਹਾਂ ਯਾਦ ਦਿਵਾਉਂਦੀ ਹੈ ਕਿ ਸਾਡੇ ਆਪਸ ਵਿੱਚ ਜੁੜੇ ਵਿਕਾਸ ਈਕੋਸਿਸਟਮ ਵਿੱਚ, ਵਿਸ਼ਵਾਸ ਨੂੰ ਲਗਾਤਾਰ ਪ੍ਰਮਾਣਿਤ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ, ਨਾ ਕਿ ਮੰਨਿਆ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ।
ਟੈਗ ਸਮਝੌਤਾ ਹਮਲੇ ਦਾ ਸਰੀਰ ਵਿਗਿਆਨ
ਇਹ ਟ੍ਰੀਵੀ ਦੇ ਕੋਰ ਐਪਲੀਕੇਸ਼ਨ ਕੋਡ ਦੀ ਉਲੰਘਣਾ ਨਹੀਂ ਸੀ, ਪਰ ਇਸਦੇ CI/CD ਆਟੋਮੇਸ਼ਨ ਦਾ ਇੱਕ ਚਲਾਕ ਵਿਗਾੜ ਸੀ। ਹਮਲਾਵਰਾਂ ਨੇ GitHub ਐਕਸ਼ਨ ਰਿਪੋਜ਼ਟਰੀ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ, 'v0.48.0' ਟੈਗ ਲਈ `action.yml` ਫਾਈਲ ਦਾ ਇੱਕ ਖਤਰਨਾਕ ਸੰਸਕਰਣ ਬਣਾਇਆ। ਜਦੋਂ ਇੱਕ ਡਿਵੈਲਪਰ ਦੇ ਵਰਕਫਲੋ ਨੇ ਇਸ ਖਾਸ ਟੈਗ ਦਾ ਹਵਾਲਾ ਦਿੱਤਾ, ਤਾਂ ਕਾਰਵਾਈ ਜਾਇਜ਼ ਟ੍ਰੀਵੀ ਸਕੈਨ ਨੂੰ ਚਲਾਉਣ ਤੋਂ ਪਹਿਲਾਂ ਇੱਕ ਨੁਕਸਾਨਦੇਹ ਸਕ੍ਰਿਪਟ ਨੂੰ ਲਾਗੂ ਕਰੇਗੀ। ਇਸ ਸਕ੍ਰਿਪਟ ਨੂੰ ਹਮਲਾਵਰ ਦੁਆਰਾ ਨਿਯੰਤਰਿਤ ਰਿਮੋਟ ਸਰਵਰ ਲਈ - ਜਿਵੇਂ ਕਿ ਰਿਪੋਜ਼ਟਰੀ ਟੋਕਨ, ਕਲਾਉਡ ਪ੍ਰਦਾਤਾ ਪ੍ਰਮਾਣ ਪੱਤਰ, ਅਤੇ API ਕੁੰਜੀਆਂ ਨੂੰ ਬਾਹਰ ਕੱਢਣ ਲਈ ਇੰਜਨੀਅਰ ਕੀਤਾ ਗਿਆ ਸੀ। ਇਸ ਹਮਲੇ ਦੀ ਗੁੰਝਲਦਾਰ ਪ੍ਰਕਿਰਤੀ ਇਸਦੀ ਵਿਸ਼ੇਸ਼ਤਾ ਵਿੱਚ ਹੈ; ਸੁਰੱਖਿਅਤ `@v0.48` ਜਾਂ `@main` ਟੈਗਸ ਦੀ ਵਰਤੋਂ ਕਰਨ ਵਾਲੇ ਡਿਵੈਲਪਰ ਪ੍ਰਭਾਵਿਤ ਨਹੀਂ ਹੋਏ, ਪਰ ਜਿਨ੍ਹਾਂ ਨੇ ਸਹੀ ਸਮਝੌਤਾ ਕੀਤੇ ਟੈਗ ਨੂੰ ਪਿੰਨ ਕੀਤਾ, ਉਹਨਾਂ ਨੇ ਅਣਜਾਣੇ ਵਿੱਚ ਉਹਨਾਂ ਦੀ ਪਾਈਪਲਾਈਨ ਵਿੱਚ ਇੱਕ ਗੰਭੀਰ ਕਮਜ਼ੋਰੀ ਪੇਸ਼ ਕੀਤੀ।
ਇਹ ਘਟਨਾ DevOps ਵਿਸ਼ਵ ਭਰ ਵਿੱਚ ਕਿਉਂ ਗੂੰਜਦੀ ਹੈ
ਟ੍ਰੀਵੀ ਸਮਝੌਤਾ ਕਈ ਕਾਰਨਾਂ ਕਰਕੇ ਮਹੱਤਵਪੂਰਨ ਹੈ। ਪਹਿਲਾਂ, ਟ੍ਰੀਵੀ ਇੱਕ ਬੁਨਿਆਦੀ ਸੁਰੱਖਿਆ ਸਾਧਨ ਹੈ ਜੋ ਲੱਖਾਂ ਲੋਕਾਂ ਦੁਆਰਾ ਕੰਟੇਨਰਾਂ ਅਤੇ ਕੋਡ ਵਿੱਚ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਸਕੈਨ ਕਰਨ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ। ਸੁਰੱਖਿਆ ਸਾਧਨ 'ਤੇ ਹਮਲਾ ਸੁਰੱਖਿਅਤ ਵਿਕਾਸ ਲਈ ਲੋੜੀਂਦੇ ਬੁਨਿਆਦ ਭਰੋਸੇ ਨੂੰ ਖਤਮ ਕਰ ਦਿੰਦਾ ਹੈ। ਦੂਜਾ, ਇਹ "ਉੱਪਰ ਵੱਲ" ਜਾਣ ਵਾਲੇ ਹਮਲਾਵਰਾਂ ਦੇ ਵਧ ਰਹੇ ਰੁਝਾਨ ਨੂੰ ਉਜਾਗਰ ਕਰਦਾ ਹੈ, ਉਹਨਾਂ ਸਾਧਨਾਂ ਅਤੇ ਨਿਰਭਰਤਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ ਜਿਨ੍ਹਾਂ 'ਤੇ ਹੋਰ ਸਾਫਟਵੇਅਰ ਬਣਾਏ ਗਏ ਹਨ। ਇੱਕ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਵਰਤੇ ਜਾਣ ਵਾਲੇ ਹਿੱਸੇ ਨੂੰ ਜ਼ਹਿਰ ਦੇ ਕੇ, ਉਹ ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਡਾਊਨਸਟ੍ਰੀਮ ਪ੍ਰੋਜੈਕਟਾਂ ਅਤੇ ਸੰਸਥਾਵਾਂ ਦੇ ਇੱਕ ਵਿਸ਼ਾਲ ਨੈਟਵਰਕ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰ ਸਕਦੇ ਹਨ। ਇਹ ਘਟਨਾ ਸਪਲਾਈ ਚੇਨ ਸੁਰੱਖਿਆ ਵਿੱਚ ਇੱਕ ਨਾਜ਼ੁਕ ਕੇਸ ਅਧਿਐਨ ਵਜੋਂ ਕੰਮ ਕਰਦੀ ਹੈ, ਇਹ ਦਰਸਾਉਂਦੀ ਹੈ ਕਿ ਕੋਈ ਵੀ ਔਜ਼ਾਰ, ਭਾਵੇਂ ਕਿੰਨਾ ਵੀ ਪ੍ਰਤਿਸ਼ਠਾਵਾਨ ਹੋਵੇ, ਹਮਲਾ ਕਰਨ ਵਾਲੇ ਵੈਕਟਰ ਵਜੋਂ ਵਰਤੇ ਜਾਣ ਲਈ ਪ੍ਰਤੀਰੋਧਕ ਨਹੀਂ ਹੈ।
"ਇਹ ਹਮਲਾ ਡਿਵੈਲਪਰ ਵਿਹਾਰ ਅਤੇ CI/CD ਮਕੈਨਿਕਸ ਦੀ ਇੱਕ ਵਧੀਆ ਸਮਝ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ। ਇੱਕ ਖਾਸ ਸੰਸਕਰਣ ਟੈਗ ਨੂੰ ਪਿੰਨ ਕਰਨਾ ਅਕਸਰ ਸਥਿਰਤਾ ਲਈ ਇੱਕ ਵਧੀਆ ਅਭਿਆਸ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ, ਪਰ ਇਹ ਘਟਨਾ ਦਰਸਾਉਂਦੀ ਹੈ ਕਿ ਇਹ ਜੋਖਮ ਵੀ ਪੇਸ਼ ਕਰ ਸਕਦੀ ਹੈ ਜੇਕਰ ਉਸ ਖਾਸ ਸੰਸਕਰਣ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਸਬਕ ਇਹ ਹੈ ਕਿ ਸੁਰੱਖਿਆ ਇੱਕ ਨਿਰੰਤਰ ਪ੍ਰਕਿਰਿਆ ਹੈ, ਇੱਕ ਵਾਰ ਸੈੱਟਅੱਪ ਨਹੀਂ।"
ਤੁਹਾਡੀਆਂ GitHub ਕਾਰਵਾਈਆਂ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨ ਲਈ ਤੁਰੰਤ ਕਦਮ
ਇਸ ਘਟਨਾ ਦੇ ਮੱਦੇਨਜ਼ਰ, ਡਿਵੈਲਪਰਾਂ ਅਤੇ ਸੁਰੱਖਿਆ ਟੀਮਾਂ ਨੂੰ ਆਪਣੇ GitHub ਐਕਸ਼ਨ ਵਰਕਫਲੋ ਨੂੰ ਸਖ਼ਤ ਕਰਨ ਲਈ ਕਿਰਿਆਸ਼ੀਲ ਉਪਾਅ ਕਰਨੇ ਚਾਹੀਦੇ ਹਨ। ਸੰਤੁਸ਼ਟੀ ਸੁਰੱਖਿਆ ਦੀ ਦੁਸ਼ਮਣ ਹੈ। ਇੱਥੇ ਤੁਰੰਤ ਲਾਗੂ ਕਰਨ ਲਈ ਜ਼ਰੂਰੀ ਕਦਮ ਹਨ:
- ਟੈਗਸ ਦੀ ਬਜਾਏ ਕਮਿਟ SHA ਪਿਨਿੰਗ ਦੀ ਵਰਤੋਂ ਕਰੋ: ਹਮੇਸ਼ਾ ਉਹਨਾਂ ਦੀ ਪੂਰੀ ਕਮਿਟ ਹੈਸ਼ ਦੁਆਰਾ ਕਾਰਵਾਈਆਂ ਦਾ ਹਵਾਲਾ ਦਿਓ (ਉਦਾਹਰਨ ਲਈ, `actions/checkout@a81bbbf8298c0fa03ea29cdc473d45769f953675`)। ਇਹ ਗਾਰੰਟੀ ਦੇਣ ਦਾ ਇੱਕੋ ਇੱਕ ਤਰੀਕਾ ਹੈ ਕਿ ਤੁਸੀਂ ਕਾਰਵਾਈ ਦਾ ਇੱਕ ਅਟੱਲ ਸੰਸਕਰਣ ਵਰਤ ਰਹੇ ਹੋ।
- ਆਪਣੇ ਮੌਜੂਦਾ ਵਰਕਫਲੋ ਦਾ ਆਡਿਟ ਕਰੋ: ਆਪਣੀ `.github/workflows` ਡਾਇਰੈਕਟਰੀ ਦੀ ਜਾਂਚ ਕਰੋ। ਟੈਗਾਂ 'ਤੇ ਪਿੰਨ ਕੀਤੀਆਂ ਕਿਸੇ ਵੀ ਕਾਰਵਾਈਆਂ ਦੀ ਪਛਾਣ ਕਰੋ ਅਤੇ ਉਹਨਾਂ ਨੂੰ SHAs ਲਈ ਬਦਲੋ, ਖਾਸ ਤੌਰ 'ਤੇ ਨਾਜ਼ੁਕ ਸੁਰੱਖਿਆ ਸਾਧਨਾਂ ਲਈ।
- GitHub ਦੀਆਂ ਸੁਰੱਖਿਆ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦਾ ਲਾਭ ਉਠਾਓ: ਲੋੜੀਂਦੀ ਸਥਿਤੀ ਜਾਂਚਾਂ ਨੂੰ ਸਮਰੱਥ ਬਣਾਓ ਅਤੇ `ਵਰਕਫਲੋ_ਪਰਮਿਸ਼ਨ` ਸੈਟਿੰਗ ਦੀ ਸਮੀਖਿਆ ਕਰੋ, ਉਹਨਾਂ ਨੂੰ ਡਿਫੌਲਟ ਤੌਰ 'ਤੇ ਸਿਰਫ਼ ਰੀਡ-ਓਨਲੀ 'ਤੇ ਸੈੱਟ ਕਰੋ ਤਾਂ ਜੋ ਸਮਝੌਤਾ ਕੀਤੀ ਕਾਰਵਾਈ ਤੋਂ ਸੰਭਾਵੀ ਨੁਕਸਾਨ ਨੂੰ ਘੱਟ ਕੀਤਾ ਜਾ ਸਕੇ।
- ਅਸਾਧਾਰਨ ਗਤੀਵਿਧੀ ਲਈ ਮਾਨੀਟਰ: ਤੁਹਾਡੇ ਭੇਦ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਅਚਾਨਕ ਆਊਟਬਾਉਂਡ ਨੈਟਵਰਕ ਕਨੈਕਸ਼ਨਾਂ ਜਾਂ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਕੋਸ਼ਿਸ਼ਾਂ ਦਾ ਪਤਾ ਲਗਾਉਣ ਲਈ ਤੁਹਾਡੀਆਂ CI/CD ਪਾਈਪਲਾਈਨਾਂ ਲਈ ਲੌਗਿੰਗ ਅਤੇ ਨਿਗਰਾਨੀ ਨੂੰ ਲਾਗੂ ਕਰੋ।
ਮੇਵੇਜ਼ ਨਾਲ ਇੱਕ ਲਚਕੀਲਾ ਫਾਊਂਡੇਸ਼ਨ ਬਣਾਉਣਾ
ਜਦੋਂ ਕਿ ਵਿਅਕਤੀਗਤ ਔਜ਼ਾਰਾਂ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨਾ ਮਹੱਤਵਪੂਰਨ ਹੁੰਦਾ ਹੈ, ਅਸਲ ਲਚਕੀਲਾਪਣ ਤੁਹਾਡੇ ਕਾਰੋਬਾਰੀ ਕਾਰਜਾਂ ਲਈ ਇੱਕ ਸੰਪੂਰਨ ਪਹੁੰਚ ਤੋਂ ਆਉਂਦਾ ਹੈ। ਟ੍ਰੀਵੀ ਸਮਝੌਤਾ ਵਰਗੀਆਂ ਘਟਨਾਵਾਂ ਆਧੁਨਿਕ ਟੂਲਚੇਨਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਛੁਪੀਆਂ ਗੁੰਝਲਾਂ ਅਤੇ ਜੋਖਮਾਂ ਨੂੰ ਪ੍ਰਗਟ ਕਰਦੀਆਂ ਹਨ। ਮੇਵੇਜ਼ ਵਰਗਾ ਪਲੇਟਫਾਰਮ ਇੱਕ ਏਕੀਕ੍ਰਿਤ, ਮਾਡਯੂਲਰ ਵਪਾਰਕ OS ਪ੍ਰਦਾਨ ਕਰਕੇ ਇਸ ਨੂੰ ਸੰਬੋਧਿਤ ਕਰਦਾ ਹੈ ਜੋ ਨਿਰਭਰਤਾ ਫੈਲਾਅ ਨੂੰ ਘਟਾਉਂਦਾ ਹੈ ਅਤੇ ਨਿਯੰਤਰਣ ਨੂੰ ਕੇਂਦਰਿਤ ਕਰਦਾ ਹੈ। ਇੱਕ ਦਰਜਨ ਵੱਖ-ਵੱਖ ਸੇਵਾਵਾਂ ਨੂੰ ਜੋੜਨ ਦੀ ਬਜਾਏ-ਹਰ ਇੱਕ ਆਪਣੇ ਸੁਰੱਖਿਆ ਮਾਡਲ ਅਤੇ ਅੱਪਡੇਟ ਚੱਕਰ ਦੇ ਨਾਲ-ਮੇਵੇਜ਼ ਇੱਕ ਸਿੰਗਲ, ਸੁਰੱਖਿਅਤ ਵਾਤਾਵਰਣ ਵਿੱਚ ਪ੍ਰੋਜੈਕਟ ਪ੍ਰਬੰਧਨ, CRM, ਅਤੇ ਦਸਤਾਵੇਜ਼ ਪ੍ਰਬੰਧਨ ਵਰਗੇ ਮੁੱਖ ਕਾਰਜਾਂ ਨੂੰ ਏਕੀਕ੍ਰਿਤ ਕਰਦਾ ਹੈ। ਇਹ ਇਕਸੁਰਤਾ ਹਮਲੇ ਦੀ ਸਤਹ ਨੂੰ ਘੱਟ ਤੋਂ ਘੱਟ ਕਰਦੀ ਹੈ ਅਤੇ ਸੁਰੱਖਿਆ ਸ਼ਾਸਨ ਨੂੰ ਸਰਲ ਬਣਾਉਂਦੀ ਹੈ, ਜਿਸ ਨਾਲ ਟੀਮਾਂ ਨੂੰ ਇੱਕ ਖੰਡਿਤ ਸੌਫਟਵੇਅਰ ਸਟੈਕ ਵਿੱਚ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਲਗਾਤਾਰ ਪੈਚ ਕਰਨ ਦੀ ਬਜਾਏ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਨੂੰ ਬਣਾਉਣ 'ਤੇ ਧਿਆਨ ਦੇਣ ਦੀ ਇਜਾਜ਼ਤ ਮਿਲਦੀ ਹੈ। ਅਜਿਹੀ ਦੁਨੀਆ ਵਿੱਚ ਜਿੱਥੇ ਇੱਕ ਇੱਕਲੇ ਸਮਝੌਤਾ ਟੈਗ ਇੱਕ ਵੱਡੀ ਉਲੰਘਣਾ ਦਾ ਕਾਰਨ ਬਣ ਸਕਦਾ ਹੈ, ਮੇਵੇਜ਼ ਦੁਆਰਾ ਪੇਸ਼ ਕੀਤੀ ਗਈ ਏਕੀਕ੍ਰਿਤ ਸੁਰੱਖਿਆ ਅਤੇ ਸੁਚਾਰੂ ਕਾਰਜ ਵਿਕਾਸ ਲਈ ਇੱਕ ਵਧੇਰੇ ਨਿਯੰਤਰਿਤ ਅਤੇ ਆਡਿਟ ਕਰਨ ਯੋਗ ਬੁਨਿਆਦ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ।
💡 DID YOU KNOW?
Mewayz replaces 8+ business tools in one platform
CRM · Invoicing · HR · Projects · Booking · eCommerce · POS · Analytics. Free forever plan available.
Start Free →ਅਕਸਰ ਪੁੱਛੇ ਜਾਣ ਵਾਲੇ ਸਵਾਲ
ਮੁੜ ਹਮਲੇ ਦੇ ਅਧੀਨ: ਵਿਆਪਕ GitHub ਐਕਸ਼ਨ ਟੈਗ ਸਮਝੌਤਾ ਭੇਦ
ਸਾਫਟਵੇਅਰ ਸਪਲਾਈ ਚੇਨ ਦੀ ਸੁਰੱਖਿਆ ਇਸਦੀ ਸਭ ਤੋਂ ਕਮਜ਼ੋਰ ਲਿੰਕ ਜਿੰਨੀ ਹੀ ਮਜ਼ਬੂਤ ਹੈ। ਅਣਗਿਣਤ ਵਿਕਾਸ ਟੀਮਾਂ ਲਈ, ਉਹ ਲਿੰਕ ਉਹ ਸਾਧਨ ਬਣ ਗਏ ਹਨ ਜਿਨ੍ਹਾਂ 'ਤੇ ਉਹ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਲੱਭਣ ਲਈ ਭਰੋਸਾ ਕਰਦੇ ਹਨ। ਘਟਨਾਵਾਂ ਦੇ ਇੱਕ ਮੋੜ ਵਿੱਚ, ਟ੍ਰੀਵੀ, ਇੱਕ ਪ੍ਰਸਿੱਧ ਓਪਨ-ਸਰੋਤ ਕਮਜ਼ੋਰੀ ਸਕੈਨਰ ਜੋ Aqua ਸੁਰੱਖਿਆ ਦੁਆਰਾ ਬਣਾਈ ਗਈ ਹੈ, ਨੇ ਆਪਣੇ ਆਪ ਨੂੰ ਇੱਕ ਵਧੀਆ ਹਮਲੇ ਦੇ ਕੇਂਦਰ ਵਿੱਚ ਪਾਇਆ। ਖ਼ਰਾਬ ਅਦਾਕਾਰਾਂ ਨੇ ਇਸਦੇ GitHub ਐਕਸ਼ਨ ਰਿਪੋਜ਼ਟਰੀ ਦੇ ਅੰਦਰ ਇੱਕ ਖਾਸ ਸੰਸਕਰਣ ਟੈਗ (`v0.48.0`) ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ, ਇਸਦੀ ਵਰਤੋਂ ਕਰਨ ਵਾਲੇ ਕਿਸੇ ਵੀ ਵਰਕਫਲੋ ਤੋਂ ਸੰਵੇਦਨਸ਼ੀਲ ਭੇਦ ਚੋਰੀ ਕਰਨ ਲਈ ਬਣਾਏ ਗਏ ਕੋਡ ਨੂੰ ਇੰਜੈਕਟ ਕਰਦੇ ਹੋਏ। ਇਹ ਘਟਨਾ ਇੱਕ ਪੂਰੀ ਤਰ੍ਹਾਂ ਯਾਦ ਦਿਵਾਉਂਦੀ ਹੈ ਕਿ ਸਾਡੇ ਆਪਸ ਵਿੱਚ ਜੁੜੇ ਵਿਕਾਸ ਈਕੋਸਿਸਟਮ ਵਿੱਚ, ਵਿਸ਼ਵਾਸ ਨੂੰ ਲਗਾਤਾਰ ਪ੍ਰਮਾਣਿਤ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ, ਨਾ ਕਿ ਮੰਨਿਆ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ।
ਟੈਗ ਸਮਝੌਤਾ ਹਮਲੇ ਦਾ ਸਰੀਰ ਵਿਗਿਆਨ
ਇਹ ਟ੍ਰੀਵੀ ਦੇ ਕੋਰ ਐਪਲੀਕੇਸ਼ਨ ਕੋਡ ਦੀ ਉਲੰਘਣਾ ਨਹੀਂ ਸੀ, ਪਰ ਇਸਦੇ CI/CD ਆਟੋਮੇਸ਼ਨ ਦਾ ਇੱਕ ਚਲਾਕ ਵਿਗਾੜ ਸੀ। ਹਮਲਾਵਰਾਂ ਨੇ GitHub ਐਕਸ਼ਨ ਰਿਪੋਜ਼ਟਰੀ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ, 'v0.48.0' ਟੈਗ ਲਈ `action.yml` ਫਾਈਲ ਦਾ ਇੱਕ ਖਤਰਨਾਕ ਸੰਸਕਰਣ ਬਣਾਇਆ। ਜਦੋਂ ਇੱਕ ਡਿਵੈਲਪਰ ਦੇ ਵਰਕਫਲੋ ਨੇ ਇਸ ਖਾਸ ਟੈਗ ਦਾ ਹਵਾਲਾ ਦਿੱਤਾ, ਤਾਂ ਕਾਰਵਾਈ ਜਾਇਜ਼ ਟ੍ਰੀਵੀ ਸਕੈਨ ਨੂੰ ਚਲਾਉਣ ਤੋਂ ਪਹਿਲਾਂ ਇੱਕ ਨੁਕਸਾਨਦੇਹ ਸਕ੍ਰਿਪਟ ਨੂੰ ਲਾਗੂ ਕਰੇਗੀ। ਇਸ ਸਕ੍ਰਿਪਟ ਨੂੰ ਹਮਲਾਵਰ ਦੁਆਰਾ ਨਿਯੰਤਰਿਤ ਰਿਮੋਟ ਸਰਵਰ ਲਈ - ਜਿਵੇਂ ਕਿ ਰਿਪੋਜ਼ਟਰੀ ਟੋਕਨ, ਕਲਾਉਡ ਪ੍ਰਦਾਤਾ ਪ੍ਰਮਾਣ ਪੱਤਰ, ਅਤੇ API ਕੁੰਜੀਆਂ ਨੂੰ ਬਾਹਰ ਕੱਢਣ ਲਈ ਇੰਜਨੀਅਰ ਕੀਤਾ ਗਿਆ ਸੀ। ਇਸ ਹਮਲੇ ਦੀ ਗੁੰਝਲਦਾਰ ਪ੍ਰਕਿਰਤੀ ਇਸਦੀ ਵਿਸ਼ੇਸ਼ਤਾ ਵਿੱਚ ਹੈ; ਸੁਰੱਖਿਅਤ `@v0.48` ਜਾਂ `@main` ਟੈਗਸ ਦੀ ਵਰਤੋਂ ਕਰਨ ਵਾਲੇ ਡਿਵੈਲਪਰ ਪ੍ਰਭਾਵਿਤ ਨਹੀਂ ਹੋਏ, ਪਰ ਜਿਨ੍ਹਾਂ ਨੇ ਸਹੀ ਸਮਝੌਤਾ ਕੀਤੇ ਟੈਗ ਨੂੰ ਪਿੰਨ ਕੀਤਾ, ਉਹਨਾਂ ਨੇ ਅਣਜਾਣੇ ਵਿੱਚ ਉਹਨਾਂ ਦੀ ਪਾਈਪਲਾਈਨ ਵਿੱਚ ਇੱਕ ਗੰਭੀਰ ਕਮਜ਼ੋਰੀ ਪੇਸ਼ ਕੀਤੀ।
ਇਹ ਘਟਨਾ DevOps ਵਿਸ਼ਵ ਭਰ ਵਿੱਚ ਕਿਉਂ ਗੂੰਜਦੀ ਹੈ
ਟ੍ਰੀਵੀ ਸਮਝੌਤਾ ਕਈ ਕਾਰਨਾਂ ਕਰਕੇ ਮਹੱਤਵਪੂਰਨ ਹੈ। ਪਹਿਲਾਂ, ਟ੍ਰੀਵੀ ਇੱਕ ਬੁਨਿਆਦੀ ਸੁਰੱਖਿਆ ਸਾਧਨ ਹੈ ਜੋ ਲੱਖਾਂ ਲੋਕਾਂ ਦੁਆਰਾ ਕੰਟੇਨਰਾਂ ਅਤੇ ਕੋਡ ਵਿੱਚ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਸਕੈਨ ਕਰਨ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ। ਸੁਰੱਖਿਆ ਸਾਧਨ 'ਤੇ ਹਮਲਾ ਸੁਰੱਖਿਅਤ ਵਿਕਾਸ ਲਈ ਲੋੜੀਂਦੇ ਬੁਨਿਆਦ ਭਰੋਸੇ ਨੂੰ ਖਤਮ ਕਰ ਦਿੰਦਾ ਹੈ। ਦੂਜਾ, ਇਹ "ਉੱਪਰ ਵੱਲ" ਜਾਣ ਵਾਲੇ ਹਮਲਾਵਰਾਂ ਦੇ ਵਧ ਰਹੇ ਰੁਝਾਨ ਨੂੰ ਉਜਾਗਰ ਕਰਦਾ ਹੈ, ਉਹਨਾਂ ਸਾਧਨਾਂ ਅਤੇ ਨਿਰਭਰਤਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ ਜਿਨ੍ਹਾਂ 'ਤੇ ਹੋਰ ਸਾਫਟਵੇਅਰ ਬਣਾਏ ਗਏ ਹਨ। ਇੱਕ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਵਰਤੇ ਜਾਣ ਵਾਲੇ ਹਿੱਸੇ ਨੂੰ ਜ਼ਹਿਰ ਦੇ ਕੇ, ਉਹ ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਡਾਊਨਸਟ੍ਰੀਮ ਪ੍ਰੋਜੈਕਟਾਂ ਅਤੇ ਸੰਸਥਾਵਾਂ ਦੇ ਇੱਕ ਵਿਸ਼ਾਲ ਨੈਟਵਰਕ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰ ਸਕਦੇ ਹਨ। ਇਹ ਘਟਨਾ ਸਪਲਾਈ ਚੇਨ ਸੁਰੱਖਿਆ ਵਿੱਚ ਇੱਕ ਨਾਜ਼ੁਕ ਕੇਸ ਅਧਿਐਨ ਵਜੋਂ ਕੰਮ ਕਰਦੀ ਹੈ, ਇਹ ਦਰਸਾਉਂਦੀ ਹੈ ਕਿ ਕੋਈ ਵੀ ਔਜ਼ਾਰ, ਭਾਵੇਂ ਕਿੰਨਾ ਵੀ ਪ੍ਰਤਿਸ਼ਠਾਵਾਨ ਹੋਵੇ, ਹਮਲਾ ਕਰਨ ਵਾਲੇ ਵੈਕਟਰ ਵਜੋਂ ਵਰਤੇ ਜਾਣ ਲਈ ਪ੍ਰਤੀਰੋਧਕ ਨਹੀਂ ਹੈ।
ਤੁਹਾਡੀਆਂ GitHub ਕਾਰਵਾਈਆਂ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨ ਲਈ ਤੁਰੰਤ ਕਦਮ
ਇਸ ਘਟਨਾ ਦੇ ਮੱਦੇਨਜ਼ਰ, ਡਿਵੈਲਪਰਾਂ ਅਤੇ ਸੁਰੱਖਿਆ ਟੀਮਾਂ ਨੂੰ ਆਪਣੇ GitHub ਐਕਸ਼ਨ ਵਰਕਫਲੋ ਨੂੰ ਸਖ਼ਤ ਕਰਨ ਲਈ ਕਿਰਿਆਸ਼ੀਲ ਉਪਾਅ ਕਰਨੇ ਚਾਹੀਦੇ ਹਨ। ਸੰਤੁਸ਼ਟੀ ਸੁਰੱਖਿਆ ਦੀ ਦੁਸ਼ਮਣ ਹੈ। ਇੱਥੇ ਤੁਰੰਤ ਲਾਗੂ ਕਰਨ ਲਈ ਜ਼ਰੂਰੀ ਕਦਮ ਹਨ:
ਮੇਵੇਜ਼ ਨਾਲ ਇੱਕ ਲਚਕੀਲਾ ਫਾਊਂਡੇਸ਼ਨ ਬਣਾਉਣਾ
ਜਦੋਂ ਕਿ ਵਿਅਕਤੀਗਤ ਔਜ਼ਾਰਾਂ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨਾ ਮਹੱਤਵਪੂਰਨ ਹੁੰਦਾ ਹੈ, ਅਸਲ ਲਚਕੀਲਾਪਣ ਤੁਹਾਡੇ ਕਾਰੋਬਾਰੀ ਕਾਰਜਾਂ ਲਈ ਇੱਕ ਸੰਪੂਰਨ ਪਹੁੰਚ ਤੋਂ ਆਉਂਦਾ ਹੈ। ਟ੍ਰੀਵੀ ਸਮਝੌਤਾ ਵਰਗੀਆਂ ਘਟਨਾਵਾਂ ਆਧੁਨਿਕ ਟੂਲਚੇਨਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਛੁਪੀਆਂ ਗੁੰਝਲਾਂ ਅਤੇ ਜੋਖਮਾਂ ਨੂੰ ਪ੍ਰਗਟ ਕਰਦੀਆਂ ਹਨ। ਮੇਵੇਜ਼ ਵਰਗਾ ਪਲੇਟਫਾਰਮ ਇੱਕ ਏਕੀਕ੍ਰਿਤ, ਮਾਡਯੂਲਰ ਵਪਾਰਕ OS ਪ੍ਰਦਾਨ ਕਰਕੇ ਇਸ ਨੂੰ ਸੰਬੋਧਿਤ ਕਰਦਾ ਹੈ ਜੋ ਨਿਰਭਰਤਾ ਫੈਲਾਅ ਨੂੰ ਘਟਾਉਂਦਾ ਹੈ ਅਤੇ ਨਿਯੰਤਰਣ ਨੂੰ ਕੇਂਦਰਿਤ ਕਰਦਾ ਹੈ। ਇੱਕ ਦਰਜਨ ਵੱਖ-ਵੱਖ ਸੇਵਾਵਾਂ ਨੂੰ ਜੋੜਨ ਦੀ ਬਜਾਏ-ਹਰ ਇੱਕ ਆਪਣੇ ਸੁਰੱਖਿਆ ਮਾਡਲ ਅਤੇ ਅੱਪਡੇਟ ਚੱਕਰ ਦੇ ਨਾਲ-ਮੇਵੇਜ਼ ਇੱਕ ਸਿੰਗਲ, ਸੁਰੱਖਿਅਤ ਵਾਤਾਵਰਣ ਵਿੱਚ ਪ੍ਰੋਜੈਕਟ ਪ੍ਰਬੰਧਨ, CRM, ਅਤੇ ਦਸਤਾਵੇਜ਼ ਪ੍ਰਬੰਧਨ ਵਰਗੇ ਮੁੱਖ ਕਾਰਜਾਂ ਨੂੰ ਏਕੀਕ੍ਰਿਤ ਕਰਦਾ ਹੈ। ਇਹ ਇਕਸੁਰਤਾ ਹਮਲੇ ਦੀ ਸਤਹ ਨੂੰ ਘੱਟ ਤੋਂ ਘੱਟ ਕਰਦੀ ਹੈ ਅਤੇ ਸੁਰੱਖਿਆ ਸ਼ਾਸਨ ਨੂੰ ਸਰਲ ਬਣਾਉਂਦੀ ਹੈ, ਜਿਸ ਨਾਲ ਟੀਮਾਂ ਨੂੰ ਇੱਕ ਖੰਡਿਤ ਸੌਫਟਵੇਅਰ ਸਟੈਕ ਵਿੱਚ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਲਗਾਤਾਰ ਪੈਚ ਕਰਨ ਦੀ ਬਜਾਏ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਨੂੰ ਬਣਾਉਣ 'ਤੇ ਧਿਆਨ ਦੇਣ ਦੀ ਇਜਾਜ਼ਤ ਮਿਲਦੀ ਹੈ। ਅਜਿਹੀ ਦੁਨੀਆ ਵਿੱਚ ਜਿੱਥੇ ਇੱਕ ਇੱਕਲੇ ਸਮਝੌਤਾ ਟੈਗ ਇੱਕ ਵੱਡੀ ਉਲੰਘਣਾ ਦਾ ਕਾਰਨ ਬਣ ਸਕਦਾ ਹੈ, ਮੇਵੇਜ਼ ਦੁਆਰਾ ਪੇਸ਼ ਕੀਤੀ ਗਈ ਏਕੀਕ੍ਰਿਤ ਸੁਰੱਖਿਆ ਅਤੇ ਸੁਚਾਰੂ ਕਾਰਜ ਵਿਕਾਸ ਲਈ ਇੱਕ ਵਧੇਰੇ ਨਿਯੰਤਰਿਤ ਅਤੇ ਆਡਿਟ ਕਰਨ ਯੋਗ ਬੁਨਿਆਦ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ।
ਅੱਜ ਹੀ ਆਪਣਾ ਕਾਰੋਬਾਰ OS ਬਣਾਓ
ਫ੍ਰੀਲਾਂਸਰਾਂ ਤੋਂ ਲੈ ਕੇ ਏਜੰਸੀਆਂ ਤੱਕ, Mewayz 208 ਏਕੀਕ੍ਰਿਤ ਮੌਡਿਊਲਾਂ ਦੇ ਨਾਲ 138,000+ ਕਾਰੋਬਾਰਾਂ ਨੂੰ ਸ਼ਕਤੀ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ। ਮੁਫ਼ਤ ਸ਼ੁਰੂ ਕਰੋ, ਜਦੋਂ ਤੁਸੀਂ ਵੱਡੇ ਹੋਵੋ ਤਾਂ ਅੱਪਗ੍ਰੇਡ ਕਰੋ।
ਮੁਫ਼ਤ ਖਾਤਾ ਬਣਾਓ →Try Mewayz Free
All-in-one platform for CRM, invoicing, projects, HR & more. No credit card required.
Get more articles like this
Weekly business tips and product updates. Free forever.
You're subscribed!
Start managing your business smarter today
Join 6,208+ businesses. Free forever plan · No credit card required.
Ready to put this into practice?
Join 6,208+ businesses using Mewayz. Free forever plan — no credit card required.
Start Free Trial →Related articles
Hacker News
The insider trading suspicions looming over Trump's presidency
Apr 20, 2026
Hacker News
Claude Token Counter, now with model comparisons
Apr 20, 2026
Hacker News
Show HN: A lightweight way to make agents talk without paying for API usage
Apr 20, 2026
Hacker News
Show HN: TRELLIS.2 image-to-3D running on Mac Silicon – no Nvidia GPU needed
Apr 20, 2026
Hacker News
Sudo for Windows
Apr 19, 2026
Hacker News
Swiss AI Initiative (2023)
Apr 19, 2026
Ready to take action?
Start your free Mewayz trial today
All-in-one business platform. No credit card required.
Start Free →14-day free trial · No credit card · Cancel anytime