Github медленно умирает? Чем опасен функционал Github Actions

Все разработчики используют разные флоу для хранения своего кода. Но наверное самый популярный сервис - это GitHub.

Но последние время все начало меняться. После нескольких лет растущего числа сообщений о том, что злоумышленники используют платформу для распространения вредоносных программ, в новом отчете был сделан шокирующий вывод.

Отчет Legit Security показал, что большинство GitHub Actions создаются не проверенными пользователями, не поддерживаются, содержат уязвимости и имеют очень низкие показатели безопасности.

Трой Билт, руководитель отдела исследований Legit Security, рассказал в пресс-релизе об опасностях, которые это представляет для компаний во всем мире.

“GitHub - чрезвычайно популярная платформа. На самом деле, ею пользуются более 100 миллионов разработчиков и более 90% компаний из списка Fortune 100.
Однако, несмотря на свою популярность, большинство рабочих процессов GitHub Actions в той или иной степени небезопасны — от чрезмерных привилегий до зависимостей с высокой степенью риска.
Например, наше предыдущее исследование показало, что даже проекты от глобальных компаний, таких как Google и Apache, имеют недостатки. Эти результаты вызывают тревогу, поскольку действия GitHub обеспечивают ключ к критически важной инфраструктуре.
- Они подключены к исходному коду организации и среде ее развертывания, поэтому после их использования организация полностью оказывается в руках злоумышленника”.

В своем исследовании Legit Security также обнаружила интерполяцию ненадежных входных данных в более чем 7000 рабочих процессах, выполнение ненадежного кода в более чем 2500 рабочих процессах и использование ненадежных артефактов в более чем 3000 рабочих процессах.

Из 19 113 GitHub Actions только 913 были созданы проверенными пользователями GitHub; 18% имели уязвимые зависимости; 762 находятся в архиве и не получают регулярных обновлений, средний балл безопасности OSSF составил 4,23 из 10, и большинство репозиториев обслуживаются одним разработчиком.

Techopedia поговорила с Роем Блитом из Legit Security, который рассказал об удивительных выводах из отчета GitHub.

“Мы знали, что, вероятно, столкнемся с множеством случаев небезопасных Actions, но не ожидали, что это будет так распространено. Статистика, которую мы обнаружили, превзошла все ожидания”.

Сообщения, ставящие под сомнение целостность ресурсов GitHub, не являются чем-то новым. Приведу лишь пару примеров: в 2022 году Bitdefender сообщил, что тысячи PoC-эксплойтов на GitHub были заражены вредоносным ПО, а в 2023 году Aqua Nautilus обнаружила, что миллионы репозиториев GitHub потенциально уязвимы.

Блит из Legit Security рассказал об этой исторической тенденции на GitHub и о том, почему их недавний отчет уникален.

“Действительно, GitHub уже довольно давно является объектом исследований в области безопасности. Однако это исследование сосредоточено конкретно на действиях GitHub — сервисе CI/CD, предлагаемом GitHub”

“Мы провели тщательное расследование различных аспектов GitHub Actions, чего раньше не делалось в такой степени, и важно проинформировать сообщество разработчиков с открытым исходным кодом по этому вопросу, чтобы предотвратить захват злоумышленниками конвейеров CI/CD критически важных проектов”.

Вайбхав Малик (Vaibhav Malik), руководитель отдела разработки глобальных партнерских решений в Cloudflare, выразил потрясение масштабами выводов, содержащихся в этом новом отчете для Techopedia:

“Учитывая широкое использование GitHub разработчиками и крупными компаниями, потенциальное воздействие этих уязвимостей вызывает беспокойство”, - сказал Малик.
“Кроме того, вызывает тревогу тот факт, что 98% ссылок, используемых в заданиях и шагах, не соответствуют рекомендациям по закреплению зависимостей. Это делает многие рабочие процессы потенциально уязвимыми для неожиданных изменений или обновлений”.

Малик объяснил, что полученные результаты особенно актуальны, поскольку они выявляют уязвимости в GitHub Actions, которые стали критически важными для процессов разработки и развертывания во многих организациях.

“В отличие от предыдущих проблем безопасности, которые, возможно, были связаны с доступом к хранилищу или целостностью кода, эти уязвимости могут позволить злоумышленникам манипулировать автоматизированными процессами создания, тестирования и развертывания кода”.

Хотя GitHub остается крупным игроком, существуют и другие варианты размещения кода и совместной работы. Те, кто не столь предан GitHub, возможно, подумывают, например, о переходе на облачные платформы, такие как AWS CodeCommit, Azure DevOps Server (для сред Microsoft), или о том, чтобы попробовать Bitbucket или GitLab, сильного конкурента с аналогичными функциями.

Но Блит из Legit Security говорит, что разработчикам и компаниям, возможно, придется учитывать другие факторы.

“Большинство рисков, представленных в этом исследовании, на самом деле относятся практически ко всем существующим сервисам CI/CD. Например, привязка зависимостей к определенной версии (чтобы предотвратить ее изменение без ведома разработчика) важна, независимо от того, какой сервис CI вы используете. Разработчикам просто нужно помнить о том, что они должны работать в соответствии с лучшими практиками и избегать ошибок в области безопасности, представленных в отчете”.

Малик из Cloudflare рассказал Techopedia, что, основываясь на результатах исследования, разработчикам следует соблюдать следующие действия:

- Применяйте более строгие меры безопасности при написании рабочих процессов GitHub Actions, особенно в том, что касается обработки секретов и предотвращения внедрения кода.

- Будьте более осторожны при использовании Actions сторонних разработчиков из marketplace. Отдавайте предпочтение действиям проверенных разработчиков и тех, у кого более высокие показатели безопасности.

- Используйте встроенные функции GitHub для управления поведением GitHub Actions, чтобы обеспечить соблюдение рекомендаций.

Что рекомендует Малик

“В качестве альтернативы разработчики могут рассмотреть другие платформы CI/CD с потенциально более надежными функциями безопасности или изучить автономные программы запуска и пользовательские реализации действий, которые обеспечивают более жесткий контроль над средой выполнения. Однако любая альтернатива должна быть тщательно оценена с точки зрения ее потенциальных последствий для безопасности”.

Отчет Legit Security - это тревожный сигнал для разработчиков и организаций, которые полагаются на GitHub Actions. Удобство этих автоматизированных инструментов сопряжено с риском для безопасности, особенно учитывая распространенность неподдерживаемых действий и небезопасных методов кодирования.

Это не значит, что надо полностью отказываться от GitHub. Однако при использовании Actions важно расставлять приоритеты в отношении безопасности, и рекомендации Blit и Malik предлагают четкий план действий: более строгие методы обеспечения безопасности, ответственный выбор действий сторонних разработчиков и использование встроенных функций безопасности.

Для тех, кто стремится к максимально жесткому контролю, возможно, стоит изучить альтернативные платформы CI/CD или автономные решения. Но помните, что безопасность - это постоянная проблема, где бы вы ни находились. В конечном счете, сочетание осведомленности, лучших практик и, возможно, дополнительных средств защиты - это то, что обеспечит безопасность ваших конвейеров разработки.

Спасибо за чтение!

Оригинал статьи

Заказать разработку ПО -