DOLAR 18,8155 0.11%
EURO 20,4493 0.29%
ALTIN 1.165,370,40
BITCOIN 435342-0,49%
İstanbul

HAFİF YAĞMUR

02:00

YATSI'YA KALAN SÜRE

Yazmadığın koda güvenme
16 okunma

Yazmadığın koda güvenme

on

ABONE OL
Aralık 6, 2022 11:50
Yazmadığın koda güvenme
0

BEĞENDİM

ABONE OL

Yazılım projeleri GitHub Actions üzerinden indirilen inançsız yapılar nedeniyle tedarik zinciri güvenliği riskiyle karşı karşıya

Siber güvenlik araştırmacıları GitHub Actions platformunda, saldırganların yazılım projelerine makûs gayeli kod ekleyerek bir tedarik zinciri saldırısı başlatmalarını sağlayabilecek riskler belirlediler.

Kodların GitHub Actions platformu tarafından depolanma formu, saldırganların bu kesimleri indirirken kâfi filtreleme gerçekleştirmeyen (CI/CD – daima tümleştirme ve daima teslim) iş akışlarıyla yazılım projelerine berbat gayeli kod eklemesine imkan tanıyabiliyor. Araştırmacılar, savunmasız binlerce depo tarafından kullanılan, birkaç tanınan kod parçacığı indirme komut evrakı tespit ettiler. Artefact zehirlenmesi olarak tanımlanan büyük bir risk ile ilgili ihtarlarda bulundular. Artefact zehirlenmesinde saldırganlar yasal bir yapıyı makus maksatlı bir kodla değiştirerek tedarik zinciri saldırısı başlatabiliyorlar.

ESET Türkiye Teknik Müdürü Gürcan Şen channelasia.tech’de de yer alan husus ile ilgili şu açıklamada bulundu:”Tedarik zinciri atakları ekseriyetle o kadar süratlidir ki, kurban rastgele bir şeyin gerçekleştiğinin farkında bile olamadan saldırganlar içeri girip çıkabilirler. Saldırganların yasal kodu kendi berbat emelli kodlarıyla değiştirdiği artefact zehirlenmesinde, kodun diğer biri tarafından gözden geçirilmiş olabileceğine inanıldığı için sorun büyüyor. Kod denetim edilmediğinden ötürü bir tedarik zinciri boyunca farkedilmiyor. GitHub tüm dünyada kullanılıyor ve varsayılan bir muhafaza düzeyi bulunuyor. Lakin bu, kodun her vakit makûs niyetli içerikten pak olacağı manasına yahut bu sorunun birinci kere oluştuğu manasına gelmiyor. Bu nedenle, inançta kalmak için iş akışlarını daha sıkı filtreleme ile güncellenmesi gerekiyor. Hash bedelleri, tutarsızlıkları süratli bir biçimde tespit edebilme konusunda kullanıcıya yarar sağlayabilir. Dikkatli ve platformda uyanık olmak çoklukla en âlâ korunma yoludur. Ayrıyeten, geliştiriciler hiçbir koda, bilhassa de yazmadıkları koda asla güvenmemeliler.”

Kaynak: (BYZHA) – Beyaz Haber Ajansı

    En az 10 karakter gerekli


    HIZLI YORUM YAP