Hacker News
Mar labaad la weeraray: Faafinta GitHub Actions waxay calaamad u tahay sirta
Faallo
Mewayz Team
Editorial Team
Hacker News
Trivy mar kale la weeraray: GitHub Actions oo baahsan waxay calaamad u dhigtaa siraha tanaasulka
Ammaanka silsiladda sahayda software-ku waxa ay u xoog badan tahay sida xidhiidhkiisa ugu liita. Kooxaha horumarinta ee aan la tirin karin, isku xirkaasi wuxuu noqday aaladaha ay ku tiirsan yihiin si ay u helaan baylahda. Dhanka dhacdooyinka, Trivy, oo ah iskaanka dayacanka il furan ee caanka ah oo ay ilaaliso Aqua Security, ayaa isku arkay xarunta weerarka casriga ah. Jilayaasha xaasidnimada ah waxay jabiyeen summada nooca gaarka ah (`v0.48.0`) gudaha kaydkeeda GitHub Actions, duritaanka koodka loogu talagalay in lagu xado siraha xasaasiga ah ee qulqulka shaqada ee adeegsatay. Dhacdadani waxay xasuusin adag u tahay in nidaamka deegaanka horumarka ee isku xidhan, kalsoonida waa in si joogto ah loo xaqiijiyaa, ee aan la malaynayn.
Anatomy of the Tag Compromise Attack
Tani ma ahayn jebinta koodka arjiga muhiimka ah ee Trivy, laakiin waxay ahayd xad-gudub xariif ah oo lagu sameeyay automation keeda CI/CD. Weeraryahanadu waxay beegsadeen kaydka GitHub Actions, iyaga oo abuuray nooca xaasidnimo ee faylka 'action.yml' ee sumadda`v0.48.0` Marka socodka shaqada horumariyaha uu tixraaco summadan gaarka ah, falku wuxuu fulin doonaa qoraal waxyeello leh ka hor inta aan la samayn sawirka Trivy ee sharciga ah. Qoraalkan waxaa loo habeeyay si uu u faafiyo siraha-sida calaamadaha kaydka, aqoonsiga bixiyaha daruuraha, iyo furayaasha API-server fog oo uu gacanta ku hayo weeraryahanku. Dabeecadda qarsoon ee weerarkani waxay ku jirtaa gaar ahaan; horumariyayaashii isticmaalaya summada badbaadada `@v0.48` ama `@main` lama saameynin, laakiin kuwa ku dhejiyay summada saxda ah ee la dhibay iyaga oo aan is ogayn ayaa u nuglaadeen halis ah dhuumahooda.Waa maxay sababta Dhacdadani uga hadlayso Adduunka DevOps
Tanaasulka Trivy waa mid muhiim ah dhowr sababood dartood. Marka hore, Trivy waa aalad badbaado aasaasi ah oo ay malaayiin isticmaalaan si ay u baaraan dayacanka weelasha iyo koodka. Weerar lagu qaado qalabka amniga waxa uu meesha ka saaraa kalsoonida aasaasiga ah ee looga baahan yahay horumarka sugan. Marka labaad, waxay muujinaysaa isbeddelka sii kordhaya ee weeraryahannada dhaqaaqa "kor u kaca," bartilmaameedka qalabka iyo ku-tiirsanaanta in software kale lagu dhisay. Marka la sumeeyo hal qayb oo si weyn loo isticmaalo, waxay suurtogal u tahay inay galaangal u yeeshaan shabakad ballaadhan oo mashaariic iyo ururo hoose ah. Dhacdadani waxay u adeegtaa sidii daraasad xaalad halis ah oo ku saabsan ilaalinta silsiladda sahayda, taasoo muujinaysa in aanay jirin qalab, si kasta oo sumcad leh, uga badbaado in loo isticmaalo sidii weerar."Weerarkani wuxuu muujinayaa faham casri ah oo ku saabsan habdhaqanka horumarinta iyo makaanikada CI / CD. Ku dhajinta calaamad gaar ah ayaa badanaa loo tixgeliyaa habka ugu wanaagsan ee xasiloonida, laakiin dhacdadani waxay muujinaysaa inay sidoo kale soo bandhigi karto khatarta haddii nooca gaarka ah la carqaladeeyo. Casharku waa in ammaanku yahay nidaam joogto ah, ma aha habayn hal mar ah. "
Tallaabooyinka degdega ah ee lagu sugi karo Ficiladaada GitHub
Dhacdadan ka dib, horumariyayaashu iyo kooxaha amnigu waa inay qaadaan tillaabooyin firfircoon si ay u adkeeyaan socodkooda Shaqo ee GitHub Actions. Isku-tanaasulku waa cadowga amniga. Waa kuwan tillaabooyinka lagama maarmaanka ah ee si degdeg ah loo hirgeliyo:- Isticmaal ballan SHA ku dhejinta beddelka summada: Had iyo jeer tixraac falalka xashiishkooda oo dhammaystiran (tusaale, 'falalka/checkout@a81bbbf8298c0fa03ea29cdc473d45769f953675`). Tani waa habka kaliya ee lagu dammaanad qaadi karo inaad isticmaalayso nooca ficilka aan la bedeli karin.
- Baari socodkaaga shaqo ee hadda:baari tusahaaga `.github/workflows. Aqoonso ficil kasta oo lagu dhejiyo summada oo u beddel si ay u fuliyaan SHA-yada, gaar ahaan aaladaha amniga muhiimka ah.
- Ka faa'iidayso sifooyinka amniga ee GitHub:Daree baadhista heerka loo baahan yahay oo dib u eeg goobta 'socodka_ogolaanshaha', u deji si ay u akhriyaan-kaliya si caadi ah si loo yareeyo waxyeelada ka iman karta ficil la jabiyay.
- La soco dhaqdhaqaaqa aan caadiga ahayn: Hirgeli jaridda iyo la socodka dhuumahaaga CI/CD si aad u ogaato isku xidhka shabakada dibadda ee lama filaanka ah ama isku dayga gelitaanka aan la oggolayn ee isticmaalaya sirahaaga.
Dhismaha Aasaaska adkaysiga leh Mewayz
In kasta oo sugidda aaladaha gaarka ahi ay muhiim tahay, adkaysiga dhabta ahi waxa uu ka yimaadaa hab dhammaystiran oo loo wajaho hawlahaaga ganacsi. Dhacdooyinka sida tanaasulka Trivy ayaa muujinaya kakanaanta qarsoon iyo khataraha ku dhex jira silsiladaha aaladaha casriga ah. Madal sida Mewayz oo kale ah ayaa tan wax ka qabata iyadoo siinaya midaysan, OS ganacsi modular ah kaas oo yareeya fidinta ku tiirsanaanta oo dhexeeya xakamaynta. Halkii laga isticmaali lahaa darsin adeegyo kala duwan-mid kastaa leh moodeelkeeda amniga iyo wareegga cusboonaysiinta-Mewayz waxay isku daraysaa hawlaha asaasiga ah sida maaraynta mashruuca, CRM, iyo maaraynta dukumeentiga hal deegaan, ammaan ah. Isku-dhafkan wuxuu yareynayaa dusha weerarka waxayna fududeynayaan maamulka amniga, taasoo u oggolaanaysa kooxaha inay diiradda saaraan dhismaha sifa halkii ay si joogto ah u dhejin lahaayeen dayacanka xirmada softiweerka ah ee jajaban. Adduunyada hal summada la jabiyay ay u horseedi karto jebin weyn, amniga isku dhafan iyo hawlgallada la hagaajiyay ee Mewayz ay bixiso ayaa bixiya aasaas la xakameyn karo oo la xisaabin karo oo koritaanka.💡 DID YOU KNOW?
Mewayz replaces 8+ business tools in one platform
CRM · Invoicing · HR · Projects · Booking · eCommerce · POS · Analytics. Free forever plan available.
Start Free →