Notícias

Mostrar HN: Ações do Github Goat – Ambiente deliberadamente vulnerável de CI/CD

by Auto News Bot 17 de julho de 2023 406

O número crescente de ataques a ambientes de IC/CD, como os infames ataques solares, codecov e os ataques de UA-parser-js, pinta uma imagem vívida dessa ameaça crescente.Esse fluxo de trabalho simples constrói e empurra uma imagem do Docker e apresenta a ação do Github, que reforça o tempo de execução dos fluxos de trabalho do tempo de execução para ações do GitHub.Em um ambiente de CI/CD do GitHub Ações, alguém com acesso a gravação a um repositório pode criar um novo fluxo de trabalho de ações do GitHub em uma nova filial.Semelhante às ameaças acima, se o Worklow das ações do GitHub estiver venejado, um invasor poderá exfiltrar as credenciais.Além disso, se este for um fluxo de trabalho de implantação, um invasor também pode modificar o código -fonte ou criar artefato durante o processo de construção.

Fonte: https://github.com/step-security/github-actions-goat