Trivy fo ionnsaigh a-rithist: Gnìomhan GitHub farsaing a’ tagadh dìomhaireachdan co-rèiteachaidh

Trivy fo ionnsaigh a-rithist: tagaichean farsaing GitHub Actions dìomhaireachdan co-rèiteachaidh

Chan eil tèarainteachd an t-sèine solair bathar-bog ach cho làidir ris a’ cheangal as laige a th’ aige. Airson sgiobaidhean leasachaidh gun àireamh, tha an ceangal sin air a thighinn gu bhith na fhìor innealan air a bheil iad an urra gus so-leòntachd a lorg. Ann an tionndadh draghail de thachartasan, lorg Trivy, sganair so-leòntachd stòr fosgailte mòr-chòrdte air a chumail suas le Aqua Security, e fhèin aig cridhe ionnsaigh sòlaimte. Chuir cleasaichean droch-rùnach buaidh air taga dreach sònraichte (`v0.48.0`) taobh a-staigh an stòr GitHub Actions aca, a’ stealladh còd a chaidh a dhealbhadh gus dìomhaireachdan mothachail a ghoid bho shruth-obrach sam bith a chleachd e. Tha an tachartas seo na fhìor chuimhneachan gum feum earbsa a bhith air a dhearbhadh gu leantainneach anns na h-eag-shiostaman leasachaidh eadar-cheangailte againn, gun a bhith gabhail ris.

Anatomy of the Tag Compromise Attack

Cha b’ e briseadh air prìomh chòd an tagraidh aig Trivy a bha seo, ach tionndadh seòlta den fèin-ghluasad CI/CD aige. Bha an luchd-ionnsaigh ag amas air stòr GitHub Actions, a’ cruthachadh dreach droch-rùnach den fhaidhle `action.yml` airson an taga `v0.48.0`. Nuair a thug sruth-obrach leasaiche iomradh air a’ chlib shònraichte seo, chuireadh an gnìomh an gnìomh sgriobt cronail mus ruitheadh ​​e an scan dligheach Trivy. Chaidh an sgriobt seo innleachadh gus dìomhaireachdan a ghluasad - leithid comharran tasgaidh, teisteanasan solaraiche sgòthan, agus iuchraichean API - gu frithealaiche iomallach fo smachd an neach-ionnsaigh. Tha nàdur brùideil na h-ionnsaigh seo na laighe na shònrachas; cha deach buaidh a thoirt air luchd-leasachaidh a bha a’ cleachdadh na tagaichean `@v0.48` no `@main` nas sàbhailte, ach thug an fheadhainn a phinn an dearbh taga cunnartach a-steach gun fhios dhaibh so-leòntachd èiginneach don loidhne-phìoban aca.

Carson a tha an tachartas seo ag èirigh air feadh Saoghal DevOps

Tha an co-rèiteachadh Trivy cudromach airson grunn adhbharan. An toiseach, is e inneal tèarainteachd stèidheachaidh a th’ ann an Trivy a bhios milleanan a’ cleachdadh gus sgrùdadh a dhèanamh airson so-leòntachd ann an soithichean agus còd. Bidh ionnsaigh air inneal tèarainteachd a’ bleith an earbsa stèidheachaidh a tha riatanach airson leasachadh tèarainte. San dàrna h-àite, tha e a’ soilleireachadh an gluasad a tha a’ sìor fhàs de luchd-ionnsaigh a’ gluasad “suas an abhainn,” ag amas air na h-innealan agus na eisimeileachd air a bheil bathar-bog eile air a thogail. Le bhith a’ puinnseanachadh aon phàirt a thathas a’ cleachdadh gu farsaing, dh’ fhaodadh iad faighinn gu lìonra mòr de phròiseactan is bhuidhnean sìos an abhainn. Tha an tachartas seo na sgrùdadh cùise èiginneach ann an tèarainteachd sèine solair, a’ sealltainn nach eil inneal sam bith, ge bith dè cho cliùiteach, dìonach bho bhith air a chleachdadh mar vectar ionnsaigh.

“Tha an ionnsaigh seo a’ nochdadh tuigse shunndach air giùlan leasaiche agus meacanaig CI/CD. Gu tric thathas a’ meas gu bheil pinadh ri tag dreach sònraichte mar chleachdadh as fheàrr airson seasmhachd, ach tha an tachartas seo a’ sealltainn gum faod e cunnart a thoirt a-steach cuideachd ma tha an dreach sònraichte sin ann an cunnart. Is e an leasan gur e pròiseas leantainneach a th’ ann an tèarainteachd, chan e suidheachadh aon-ùine.

Ceumannan sa bhad gus na gnìomhan GitHub agad a dhèanamh tèarainte

Mar thoradh air an tachartas seo, feumaidh luchd-leasachaidh agus sgiobaidhean tèarainteachd ceumannan for-ghnìomhach a ghabhail gus na sruthan-obrach GitHub Actions aca a chruadhachadh. Tha somalta na nàmhaid tèarainteachd. Seo na ceumannan riatanach airson an cur an gnìomh sa bhad:

• Cleachd pinadh gealltanas SHA an àite tagaichean: Thoir iomradh an-còmhnaidh air gnìomhan leis an hash làn gheallaidh aca (m. e. `actions/checkout@a81bbbf8298c0fa03ea29cdc473d45769f953675`). Seo an aon dòigh air barantachadh gu bheil thu a’ cleachdadh tionndadh nach gabh atharrachadh den ghnìomh.
• Sgrùd na sruthan-obrach làithreach agad: Dèan sgrùdadh air an eòlaire `.github/workflows` agad. Comharraich gnìomhan sam bith a tha ceangailte ri tagaichean agus atharraich iad gus SHAn a ghealltainn, gu sònraichte airson innealan tèarainteachd èiginneach.
• Gluais feartan tèarainteachd GitHub: Dèan comas air sgrùdaidhean inbhe a tha a dhìth agus dèan lèirmheas air an t-suidheachadh `workflow_permissions`, gan suidheachadh gu leughadh a-mhàin a ghnàth gus am milleadh a dh'fhaodadh a bhith ann an gnìomh a chaidh a chuir an cunnart a lùghdachadh.
• Sùil air gnìomhachd neo-àbhaisteach: Cuir an gnìomh logadh is sgrùdadh airson na pìoban CI/CD agad gus ceanglaichean lìonra a-mach ris nach robh dùil a lorg no oidhirpean ruigsinneachd gun chead a’ cleachdadh na dìomhaireachdan agad.

A’ togail Bunait Seasmhach le Mewayz

Ged a tha e deatamach gun tèid innealan fa-leth fhaighinn, tha fìor fhulangas a’ tighinn bho dhòigh-obrach coileanta a thaobh gnìomhachd do ghnìomhachas. Tha tachartasan mar an co-rèiteachadh Trivy a’ nochdadh na iom-fhillteachd falaichte agus na cunnartan a tha freumhaichte ann an slabhraidhean innealan an latha an-diugh. Bidh àrd-ùrlar mar Mewayz a’ dèiligeadh ri seo le bhith a’ toirt seachad OS gnìomhachais aonaichte, modular a lughdaicheas fras eisimeileachd agus a bheir smachd air meadhan. An àite a bhith a’ suirghe dusan seirbheis eadar-dhealaichte - gach fear le a mhodail tèarainteachd fhèin agus cearcall ùrachaidh - bidh Mewayz a’ fighe a-steach prìomh ghnìomhan leithid riaghladh pròiseict, CRM, agus làimhseachadh sgrìobhainnean ann an aon àrainneachd thèarainte. Bidh an daingneachadh seo a’ lughdachadh uachdar an ionnsaigh agus a’ sìmpleachadh riaghladh tèarainteachd, a’ leigeil le sgiobaidhean fòcas a chuir air feartan togail seach a bhith an-còmhnaidh a’ gleusadh so-leòntachd ann an stac bathar-bog sgapte. Ann an saoghal far am faod aon taga ann an cunnart leantainn gu briseadh mòr, tha na h-obraichean tèarainteachd aonaichte agus sgiobalta a tha Mewayz a’ tabhann a ’toirt seachad bunait nas smachdail agus nas sgrùdaiche airson fàs.