5 月 26 日,GitHub 披露了 4 月中旬一次安全漏洞的更多调查细节,描述了攻击者如何抓取包括大约 10 万个 npm 用户的详细登录信息。
GitHub 安全问题不断
GitHub 在全球拥有超过 8000 万个存储库,无疑是最受欢迎的开源代码管理系统。但不断爆出的安全问题也一直困扰着 GitHub。
2021 年,Github 日前遭到大规模暴力破解密码的攻击,一些帐号被成 功攻破;
2020 年,Github 存储库中发现了臭名昭著的 Octopus Scanner 恶意 软件;
2018 年,Github 更是遭遇了大规模 DDoS 攻击。
今年 5 月初,GitHub 宣布在 2023 年之前,所有使用 GitHub 平台存储代码、做贡献的开发者都需要启动一种或多种形式的双因素身份验证(2FA),否则将无法正常使用该平台。促使 GitHub 做出这项决策的直接原因便是,未启用 2FA 的开发人员帐户去年遭到入侵,导致 npm 包被接管。
“大多数安全漏洞并非来自非常复杂的攻击事件或是零日漏洞,相反,往往是一些低成本的攻击,如社会工程、密码泄露,以及其他为攻击者提供访问受害者账户的攻击。”GitHub 首席安全官 (CSO) Mike Hanley 在发布的博文中写道。
使用GitHub 的一些建议
1.切勿将凭据和敏感数据存储在 GitHub 上
简单方法是在提交到分支之前不在代码中存储凭据和敏感数据。通过中断构建过程来防止带有敏感数据的代码到达 GitHub。另外,也可以使用机密和身份管理工具,例如 Vault 和 Keycloak。
2.删除文件中的敏感数据和 GitHub 历史记录
GitHub 保留所有提交的完整历史记录,包括敏感信息的变更日志。有关详细信息,可以参阅“从存储库的历史记录中清除文件”。
3.限制访问控制
无论是在 GitHub 平台,还是一般的场景,开发者都应当遵守基本的安全准则:在每个贡献者的 GitHub 帐户上启用双因素身份验证、永远不要让用户共享 GitHub 帐号和密码、必须适当保护任何可以访问源代码的笔记本电脑或其他设备等等。
4.严格验证 GitHub 上的应用程序
在选择和安装 GitHub 应用程序时注意:不要给应用程序过多的访问权限、询问应用所需访问级别的原因及可能带来的危害、在让应用背后的作者或组织访问代码库之前验证他们的合法性和可信性等。
5.及时更换 SSH key 和个人访问 token
GitHub 访问通常使用 SSH 密钥或个人用户令牌 (代替密码,因为已启用了双因素身份认证) ,开发者可以定期更新密钥和 token,来降低密钥泄露造成的任何损失。
参考链接:
https://www.bleepingcomputer.com/news/security/github-attackers-stole-login-details-of-100k-npm-user-accounts/
https://www.theregister.com/2022/05/27/github_publishes_a_post_mortem/?td=rt-3a
https://snyk.io/blog/ten-git-hub-security-best-practices/
如有侵权请联系我们
—END—
第三波软件(北京)有限公司为宏碁(股)100%转投资之子公司,针对宏碁公司提出以「BYOC(自建云)」做为变革转型的新愿景,从硬件公司转型成为【硬件+软件+服务】的企业,并以王道思维与合作伙伴共创价值、建立利益平衡的产业生态。
