Trivy නැවතත් ප්රහාරයට ලක්ව ඇත: පුළුල් GitHub ක්රියා ටැග් සම්මුති රහස්
අදහස්
Mewayz Team
Editorial Team
නැවතත් ප්රහාරයට ලක්ව ඇත: පුළුල් GitHub ක්රියා ටැග් සම්මුති රහස්
මෘදුකාංග සැපයුම් දාමයේ ආරක්ෂාව එහි දුර්වලම සබැඳිය තරම්ම ශක්තිමත් වේ. අසංඛ්යාත සංවර්ධන කණ්ඩායම් සඳහා, එම සබැඳිය ඔවුන් දුර්වලතා සෙවීමට විශ්වාස කරන මෙවලම් බවට පත්ව ඇත. Aqua Security විසින් නඩත්තු කරන ලද ජනප්රිය විවෘත මූලාශ්ර අවදානම් ස්කෑනරයක් වන Trivy, සූක්ෂම ප්රහාරයක කේන්ද්රස්ථානය බවට පත් විය. අනිෂ්ට නළුවන් එහි GitHub ක්රියා ගබඩාව තුළ නිශ්චිත අනුවාද ටැගයක් (`v0.48.0`) සම්මුතියකට ලක් කර, එය භාවිතා කළ ඕනෑම කාර්ය ප්රවාහයකින් සංවේදී රහස් සොරකම් කිරීමට නිර්මාණය කර ඇති කේතය එන්නත් කරයි. මෙම සිදුවීම අපගේ අන්තර් සම්බන්ධිත සංවර්ධන පරිසර පද්ධති තුළ, විශ්වාසය නොකඩවා සත්යාපනය කළ යුතු බව, උපකල්පනය නොකළ යුතු බව පැහැදිලිව මතක් කර දීමකි.
ටැග් සම්මුති ප්රහාරයේ ව්යුහ විද්යාව
මෙය Trivy හි මූලික යෙදුම් කේතය උල්ලංඝනය කිරීමක් නොව, එහි CI/CD ස්වයංක්රීයකරණයේ දක්ෂ ලෙස කඩාකප්පල් කිරීමකි. ප්රහාරකයින් GitHub ක්රියා ගබඩාව ඉලක්ක කර, `v0.48.0` ටැගය සඳහා `action.yml` ගොනුවේ අනිෂ්ට අනුවාදයක් නිර්මාණය කළහ. සංවර්ධකයෙකුගේ කාර්ය ප්රවාහය මෙම විශේෂිත ටැගය සඳහන් කළ විට, ක්රියාව නීත්යානුකූල ට්රයිවි ස්කෑන් ධාවනය කිරීමට පෙර හානිකර ස්ක්රිප්ට් එකක් ක්රියාත්මක කරයි. මෙම ස්ක්රිප්ට් නිර්මාණය කර ඇත්තේ ප්රහාරකයා විසින් පාලනය කරනු ලබන දුරස්ථ සේවාදායකයකට ගබඩා ටෝකන, වලාකුළු සපයන්නන්ගේ අක්තපත්ර, සහ API යතුරු වැනි රහස් හෙළි කිරීමට ය. මෙම ප්රහාරයේ ද්රෝහී ස්වභාවය එහි විශේෂත්වය තුළ පවතී; ආරක්ෂිත `@v0.48` හෝ `@main` ටැග් භාවිතා කරන සංවර්ධකයින්ට බලපෑමක් සිදු නොවීය, නමුත් නිශ්චිත සම්මුතියට ලක් වූ ටැගය අමුණා ඇති අය නොදැනුවත්වම ඔවුන්ගේ නල මාර්ගයට තීරණාත්මක අවදානමක් හඳුන්වා දී ඇත.
මෙම සිදුවීම DevOps ලෝකය පුරා දෝංකාර දෙන්නේ ඇයි
ට්රයිවි සම්මුතිය හේතු කිහිපයක් නිසා වැදගත් වේ. පළමුව, ට්රිවි යනු බහාලුම්වල සහ කේතවල ඇති දුර්වලතා සඳහා ස්කෑන් කිරීමට මිලියන ගණනක් භාවිතා කරන මූලික ආරක්ෂක මෙවලමකි. ආරක්ෂක මෙවලමකට පහර දීමක් ආරක්ෂිත සංවර්ධනය සඳහා අවශ්ය මූලික විශ්වාසය ඛාදනය කරයි. දෙවනුව, එය අනෙකුත් මෘදුකාංග මත ගොඩනගා ඇති මෙවලම් සහ පරායත්තතා ඉලක්ක කර ගනිමින් ප්රහාරකයින් "ඉහළට" ගමන් කිරීමේ වර්ධනය වන ප්රවණතාවය ඉස්මතු කරයි. බහුලව භාවිතා වන එක් සංරචකයක් විෂ වීමෙන්, ඔවුන්ට පහළට ගලා යන ව්යාපෘති සහ සංවිධාන විශාල ජාලයකට ප්රවේශය ලබා ගත හැකිය. මෙම සිදුවීම සැපයුම් දාමයේ ආරක්ෂාව සම්බන්ධයෙන් තීරණාත්මක සිද්ධි අධ්යයනයක් ලෙස ක්රියා කරයි, කිසිදු මෙවලමක්, කෙතරම් කීර්තිමත් වුවද, ප්රහාරක දෛශිකයක් ලෙස භාවිතා කිරීමට ප්රතිශක්තිකරණයක් නොමැති බව පෙන්නුම් කරයි.
"මෙම ප්රහාරය සංවර්ධක හැසිරීම් සහ CI/CD යාන්ත්ර විද්යාව පිළිබඳ නවීන අවබෝධයක් පෙන්නුම් කරයි. නිශ්චිත අනුවාද ටැගයකට ඇලවීම බොහෝ විට ස්ථාවරත්වය සඳහා හොඳම භාවිතයක් ලෙස සලකනු ලැබේ, නමුත් මෙම සිද්ධිය පෙන්නුම් කරන්නේ එම නිශ්චිත අනුවාදය සම්මුතියකට ලක් වුවහොත් අවදානම ද හඳුන්වා දිය හැකි බවයි. පාඩම වන්නේ ආරක්ෂාව යනු අඛණ්ඩ ක්රියාවලියක් මිස එක් වරක් පිහිටුවීමක් නොවන බවයි."
ඔබගේ GitHub ක්රියා සුරක්ෂිත කිරීමට ඉක්මන් පියවර
මෙම සිදුවීමෙන් පසුව, සංවර්ධකයින් සහ ආරක්ෂක කණ්ඩායම් ඔවුන්ගේ GitHub ක්රියා කාර්ය ප්රවාහයන් දැඩි කිරීමට ක්රියාශීලී පියවර ගත යුතුය. උදාසීනත්වය ආරක්ෂාවේ සතුරා ය. වහාම ක්රියාත්මක කිරීමට අත්යවශ්ය පියවර මෙන්න:
- ටැග් වෙනුවට කැප SHA pinning භාවිතා කරන්න: ක්රියාවන් ඔවුන්ගේ සම්පූර්ණ කැපවීම හෑෂ් (උදා., `actions/checkout@a81bbbf8298c0fa03ea29cdc473d45769f953675`) මගින් යොමු කරන්න. ඔබ ක්රියාවෙහි වෙනස් කළ නොහැකි අනුවාදයක් භාවිතා කරන බව සහතික කිරීමට ඇති එකම ක්රමය මෙයයි.
- ඔබේ වත්මන් කාර්ය ප්රවාහ විගණනය කරන්න: ඔබේ `.github/workflows` නාමාවලිය පරීක්ෂා කරන්න. ටැග් වලට අමුණා ඇති ඕනෑම ක්රියාවක් හඳුනාගෙන ඒවා SHAs වෙත මාරු කරන්න, විශේෂයෙන් තීරණාත්මක ආරක්ෂක මෙවලම් සඳහා.
- GitHub හි ආරක්ෂක විශේෂාංග භාවිතා කරන්න: අවශ්ය තත්ව පරීක්ෂා කිරීම් සබල කර `workflow_permissions` සැකසීම සමාලෝචනය කරන්න, සම්මුතියට පත් වූ ක්රියාවකින් සිදුවිය හැකි හානිය අවම කිරීම සඳහා පෙරනිමියෙන් ඒවා කියවීමට-පමණක් ලෙස සකසන්න.
- අසාමාන්ය ක්රියාකාරකම් සඳහා නිරීක්ෂණය කරන්න: ඔබගේ රහස් භාවිතයෙන් අනපේක්ෂිත පිටතට යන ජාල සම්බන්ධතා හෝ අනවසර පිවිසුම් උත්සාහයන් හඳුනා ගැනීමට ඔබගේ CI/CD නල මාර්ග සඳහා ලොග් වීම සහ අධීක්ෂණය ක්රියාත්මක කරන්න.
Mewayz සමඟ ඔරොත්තු දෙන පදනමක් ගොඩනැගීම
තනි මෙවලම් සුරක්ෂිත කිරීම ඉතා වැදගත් වන අතර, සැබෑ ඔරොත්තු දීමේ හැකියාව පැමිණෙන්නේ ඔබේ ව්යාපාර මෙහෙයුම් සඳහා වූ පරිපූර්ණ ප්රවේශයකිනි. ට්රයිවි සම්මුතිය වැනි සිදුවීම් නවීන මෙවලම් දාමයන් තුළ අන්තර්ගත සැඟවුණු සංකීර්ණතා සහ අවදානම් හෙළි කරයි. Mewayz වැනි වේදිකාවක් මෙය ආමන්ත්රණය කරන්නේ යැපුම් ව්යාප්තිය අඩු කරන සහ පාලනය මධ්යගත කරන ඒකාබද්ධ, මොඩියුලර් ව්යාපාරික මෙහෙයුම් පද්ධතියක් ලබා දීමෙනි. එකිනෙකට වෙනස් සේවා දුසිමකට වඩා-එක් එකකටම ආවේණික ආරක්ෂක ආකෘතියක් සහ යාවත්කාලීන චක්රයක් සමඟින්-Mewyz විසින් ව්යාපෘති කළමනාකරණය, CRM සහ ලේඛන හැසිරවීම වැනි මූලික කාර්යයන් තනි, ආරක්ෂිත පරිසරයකට ඒකාබද්ධ කරයි. මෙම ඒකාබද්ධ කිරීම ප්රහාරක මතුපිට අවම කර ආරක්ෂක පාලනය සරල කරයි, කණ්ඩායම්වලට ඛණ්ඩනය වූ මෘදුකාංග තොගයක් තුළ ඇති දුර්වලතා නිරන්තරයෙන් පැච් කිරීමට වඩා විශේෂාංග ගොඩනැගීම කෙරෙහි අවධානය යොමු කිරීමට ඉඩ සලසයි. තනි සම්මුතියකට ලක් වූ ටැගයක් විශාල උල්ලංඝනයකට තුඩු දිය හැකි ලෝකයක, Mewayz විසින් පිරිනමනු ලබන ඒකාබද්ධ ආරක්ෂාව සහ විධිමත් මෙහෙයුම් වර්ධනය සඳහා වඩාත් පාලනය කළ හැකි සහ විගණනය කළ හැකි පදනමක් සපයයි.
💡 DID YOU KNOW?
Mewayz replaces 8+ business tools in one platform
CRM · Invoicing · HR · Projects · Booking · eCommerce · POS · Analytics. Free forever plan available.
Start Free →