日韩欧美亚洲一区,亚洲一区二区精品,在线观看国精产品一区,蜜臀99久久精品久久久久小说

<small id="vxsd1"></small>

托管在 GitHub 上的諸多開源項目被曝存在 Auth tokens 泄露問題

潮玩君 ? 2024年8月16日 14:26:00 ? 新聞

派拓網絡（Palo Alto Networks）旗下安全部門 Unit 42 于 8 月 13 日發布報告，表示托管在 GitHub 上的很多熱門開源項目存在身份認證授權令牌（Auth tokens）泄露問題，讓整個項目面臨數據被盜和篡改植入惡意代碼等風險。

8 月 16 日消息，派拓網絡（Palo Alto Networks）旗下安全部門 Unit 42 于 8 月 13 日發布報告，表示托管在 GitHub 上的很多熱門開源項目存在身份認證授權令牌（Auth tokens）泄露問題，讓整個項目面臨數據被盜和篡改植入惡意代碼等風險。

托管在 GitHub 上的諸多開源項目被曝存在 Auth tokens 泄露問題

Unit 42 部門發現包括谷歌、微軟和 AWS 等公司在內，很多開源項目通過 CI / CD 工作流中使用 GitHub Actions 操作，存在泄露身份驗證 tokens 的問題。

如果惡意行為者發現了這些 tokens，他們就可以利用它們訪問私有存儲庫、竊取源代碼，甚至篡改源代碼，將合法項目變成惡意軟件。

Unit 42 部門表示，默認設置、用戶錯誤配置和安全檢查不足等問題是上述問題的核心。

其中一個關鍵問題存在于“actions / checkout”操作中，默認情況下，該操作會將 GitHub tokens 保存在本地 .git 目錄中（隱藏）。

但如果開發者出于某種原因上傳了完整的簽出目錄，就會無意中暴露 .git 文件夾中的 GitHub tokens。

該部門在 GitHub 上共計發現了 14 個開源項目 tokens：

Firebase （Google）

OpenSearch Security （AWS）

Clair （Red Hat）

Active Directory System （Adsys）（Canonical）

JSON Schemas （Microsoft）

TypeScript Repos Automation, TypeScript Bot Test Triggerer, Azure Draft （Microsoft）

CycloneDX SBOM （OWASP）

Stockfish

Libevent

Guardian for Apache Kafka （Aiven-Open）

Git Annex （Datalad）

Penrose

Deckhouse

Concrete-ML （Zama AI）

該部門已經向 GitHub 和相應的項目所有者報告了這一情況，但 GitHub 表示不會解決這一問題，auth tokens 的安全性完全由項目所有者負責。

原創文章，作者：潮玩君，如若轉載，請注明出處：http://www.bdzhitong.com/article/674251.html

GitHub Unit 42 惡意軟件篡改源代碼

潮玩君管理團隊

0 0

AI

Anthropic全面開放Claude AI的GitHub集成賦能所有開發者

2月27日，人工智能領域的領先企業Anthropic宣布，面向所有免費、Pro和Teams用戶開放Claude AI的GitHub集成功能。此前，這一功能僅限Claude企業版（C…

好奇寶寶
1天前
新聞

蘋果App Store驚現可讀取截圖的OCR惡意軟件

卡巴斯基實驗室最新報告帶來驚人消息，首次在蘋果 App Store 中發現了一種名為 “SparkCat” 的惡意軟件，它帶有讀取截屏內容的代碼，還具備光學字符識別（OCR）功能?！?/p>

Apple
2025年2月7日
新聞

GitHub提醒用戶10月22日前啟用雙重驗證，否則將被禁用部分功能

GitHub 向用戶發出警告：如果在北京時間 2024 年 10 月 22 日前仍未啟用雙重驗證（2FA），他們將被禁用部分功能。

潮玩君
2024年9月9日
新聞

GitHub遭遇大規模宕機，核心服務癱瘓后緊急恢復

據報道，全球領先的代碼托管平臺GitHub在今日遭遇了前所未有的大規模宕機事件，其主站及多個核心服務在短時間內幾乎全面癱瘓。據GitHub官方狀態頁面初步分析，此次故障疑似由數據庫…

校草
2024年8月15日
新聞

GitHub擬禁止深度偽造技術濫用：保護隱私與鼓勵研究并行

在人工智能（AI）技術快速發展的背景下，深度偽造（Deepfake）技術因其能夠生成逼真的圖像、音頻和視頻而備受關注。然而，這種技術的濫用也引發了嚴重的倫理和法律問題。為此，全球知…

科學
2024年4月30日
AI

StreamingT2V突破AI視頻生成極限：2分鐘免費長視頻開源問世

近日，由Picsart AI Research等多個團隊聯合開發的AI視頻模型StreamingT2V驚艷亮相，以其強大的長視頻生成能力刷新了行業記錄。這款模型能夠生成長達1200…

AI
2024年4月16日
新聞

微軟推出WSL圖形用戶界面，簡化Linux發行版管理

近日，微軟在GitHub上悄然發布了一份關于Windows Subsystem for Linux（WSL）的提案，該提案詳細描繪了一個用于管理Linux發行版的圖形用戶界面（GU…

科學
2024年3月25日
產品

GitHub推出企業版Copilot 定價每人每月39美元

近日，微軟旗下知名開發者平臺GitHub宣布，其備受期待的生成式AI服務GitHub Copilot企業版正式向所有企業客戶開放。這一服務自去年12月公布發布計劃以來，一直備受關注…

若安丶
2024年2月28日
新聞

PyPy解釋器宣布遷移至微軟Microsoft GitHub 旨在提升開源項目的可訪問性和用戶基數

有消息稱，Python解釋器PyPy官方發布了一份官方新聞稿，宣布已將其自家存儲庫及問題追蹤器遷移至微軟的GitHub上。這一舉措旨在提升PyPy開源項目的可訪問性和用戶基數，讓更…

秋秋
2024年1月5日

發表回復

登錄后才能評論

主站蜘蛛池模板：九江县| 奉化市| 长兴县| 太谷县| 永嘉县| 北海市| 陆良县| 金坛市| 常山县| 华宁县| 界首市| 肥城市| 罗源县| 墨江| 城市| 嵊州市| 广宁县| 长顺县| 镇赉县| 安多县| 建湖县| 泽州县| 镇巴县| 忻州市| 洛宁县| 都江堰市| 高阳县| 新巴尔虎右旗| 若羌县| 五家渠市| 玉环县| 原平市| 监利县| 安福县| 双鸭山市| 博湖县| 沐川县| 五常市| 高雄县| 浦东新区| 将乐县|

<small id="p73na"><tbody id="p73na"></tbody></small>

<rp id="p73na"><dl id="p73na"></dl></rp>

<noscript id="p73na"><dl id="p73na"></dl></noscript>