最近、GitHubにおける供給網攻撃が発生し、「reviewdog/action-setup@v1」が攻撃され、その結果「tj-actions/changed-files」の脆弱性が明らかになりました。この攻撃により、23,000のリポジトリのCI/CDシークレットがログに書き込まれ、公開されていれば攻撃者がそれを盗むことができた可能性があります。Wizの調査によれば、攻撃者はreviewdog/action-setupのv1タグを侵害し、トークンを盗むために同様の脆弱なコードを注入しました。さらに、影響を受ける可能性のある他のGitHubアクションも特定され、開発者には速やかな対策が求められています。最後に、Wizは今後の類似の侵害を防ぐために、アクションをバージョンタグではなくコミットハッシュに固定することを推奨しています。
Read more
GitHub Actionハックが連鎖的供給網攻撃を引き起こした可能性。
未分類
コメント