Ana Sayfa Teknoloji 8 Aralık 2022 3 Görüntüleme

Yazmadığın koda güvenme

Yazılım projeleri GitHub Actions üzerinden indirilen inançsız yapılar nedeniyle tedarik zinciri güvenliği riskiyle karşı karşıya

Siber güvenlik araştırmacıları GitHub Actions platformunda, saldırganların yazılım projelerine makûs hedefli kod ekleyerek bir tedarik zinciri saldırısı başlatmalarını sağlayabilecek riskler belirlediler.

Kodların GitHub Actions platformu tarafından depolanma hali, saldırganların bu modülleri indirirken kâfi filtreleme gerçekleştirmeyen (CI/CD – daima tümleştirme ve daima teslim) iş akışlarıyla yazılım projelerine makûs emelli kod eklemesine imkan tanıyabiliyor. Araştırmacılar, savunmasız binlerce depo tarafından kullanılan, birkaç tanınan kod parçacığı indirme komut evrakı tespit ettiler. Artefact zehirlenmesi olarak tanımlanan büyük bir risk ile ilgili ikazlarda bulundular. Artefact zehirlenmesinde saldırganlar yasal bir yapıyı makûs emelli bir kodla değiştirerek tedarik zinciri saldırısı başlatabiliyorlar.

ESET Türkiye Teknik Müdürü Gürcan Şen channelasia.tech’de de yer alan bahis ile ilgili şu açıklamada bulundu:”Tedarik zinciri atakları çoklukla o kadar süratlidir ki, kurban rastgele bir şeyin gerçekleştiğinin farkında bile olamadan saldırganlar içeri girip çıkabilirler. Saldırganların yasal kodu kendi berbat maksatlı kodlarıyla değiştirdiği artefact zehirlenmesinde, kodun öbür biri tarafından gözden geçirilmiş olabileceğine inanıldığı için sorun büyüyor. Kod denetim edilmediğinden ötürü bir tedarik zinciri boyunca farkedilmiyor. GitHub tüm dünyada kullanılıyor ve varsayılan bir muhafaza düzeyi bulunuyor. Lakin bu, kodun her vakit makus niyetli içerikten pak olacağı manasına yahut bu sorunun birinci sefer oluştuğu manasına gelmiyor. Bu nedenle, inançta kalmak için iş akışlarını daha sıkı filtreleme ile güncellenmesi gerekiyor. Hash bedelleri, tutarsızlıkları süratli bir biçimde tespit edebilme konusunda kullanıcıya yarar sağlayabilir. Dikkatli ve platformda uyanık olmak çoklukla en âlâ korunma metodudur. Ayrıyeten, geliştiriciler hiçbir koda, bilhassa de yazmadıkları koda asla güvenmemeliler.”

Kaynak: (BYZHA) – Beyaz Haber Ajansı

hacker sitesi
hack forum hacker forum beylikdüzü escort hack forum forum bahis onwin fethiye escort istanbul escort bodrum escort gaziantep escort gaziantep escort görükle escort meritking meritking meritking meritking giriş escort izmit escort adana casino siteleri casibomcu.bet deneme bonusu veren siteler bahis siteleri izmir escort istanbul escort Tarafbet giriş marmaris escort warez script hack forum hack forum warez forum crack forum illegal forum warez scriptler