Programos, kurios naudoja senus GitHub saugyklų pavadinimus kaip priklausomybes, iš tikrųjų gali nukreipti vartotojus į kenkėjiškas programas. Štai ką reikia žinoti.

Vis labiau akivaizdu, kad „GitHub“ atkūrimas kelia teisėtą riziką kūrėjams. Įsilaužėliai gali pasinaudoti naudotojų ir įmonių pakeitimu „GitHub“ pavadinimus užgrobdami seną saugyklą pavadinimai, tikintis, kad jų pridėtus kenkėjiškus failus gali gauti programos, kurios kodą naudoja kaip a priklausomybė.

Todėl svarbu imtis veiksmų, kad apsaugotumėte savo „GitHub“ projektą, jei neseniai pakeitėte naudotojo vardą arba nurodėte kitas saugyklas kaip priklausomybes.

Kas yra RepoJacking?

GitHub repojacking yra išnaudojimo tipas, kuris gali įvykti saugyklos savininkui pakeitus naudotojo vardą. Senasis naudotojo vardo ir saugyklos pavadinimo derinys tampa prieinamas, o repojacker gali pasinaudoti jo priklausomybėmis, reikalaudamas vartotojo vardo ir saugyklos kūrimas tuo pačiu vardu.

Repojacking gali kelti du skirtingus rizikos tipus:

  • Repojacking gali padaryti kitu atveju patikimą programą nepatikima. Jei naudojate programą, kuri kaip priklausomybę naudoja „GitHub“ saugyklą, o savininkas pervadina saugyklą, naudodami programą būsite pažeidžiami.
    instagram viewer
  • Repojacking gali kelti pavojų jūsų kuriamai programai. Jei nurodysite „GitHub“ saugyklą kaip priklausomybę ir nepastebėsite arba neatnaujinsite jos pervadinus saugyklą, jūsų programa bus pažeidžiama dėl pakartotinio išnaudojimo.

Repojacking nesukelia milžiniško pavojaus vartotojams, tačiau yra pagrįstų priežasčių manyti, kad tai gali būti rimtos tiekimo grandinės atakos mechanizmas. Jei programa turi priklausomybę, kuri nurodo iš naujo užblokuotą saugyklą, ji iškvies ir gaus kodą, kuriame gali būti kenkėjiškų programų.

Jei kuriate „GitHub“, žinodami, kaip galite sumažinti tiekimo grandinės atakų riziką ir atkūrimas – tiek dėl užgrobtos saugyklos, tiek dėl priklausomybių turinčios trečiosios šalies – yra gyvybiškai svarbus.

Kaip sumažinti „RepoJacking“ riziką

Repojacking atakos remiasi labai nuspėjamu mechanizmu: užgrobėjai perima nepanaudotos saugyklos kontrolę ir tada pasinaudoja visomis programomis, kurios nurodo ją kaip priklausomybę. Laimei, dėl to lengva kovoti su atšokimu.

Sukurkite privačius saugyklų klonus

Saugyklos klonavimas yra puikus būdas sumažinti riziką, susijusią su jūsų projekto priklausomybėmis, nes galėsite visiškai kontroliuoti savo asmeninę kopiją. Galite sukurti privačią viešosios saugyklos kopiją pliką klonavimą ir veidrodinį nustumimą, kaip nurodyta GitHub.

Atidžiai stebėkite savo projekto priklausomybes

Jei nuspręsite, kad norėtumėte išvengti problemų ir remtis viešosiomis saugyklomis, būtinai dažnai patikrinkite projekto priklausomybes. Priklausomybių būsenos tikrinimas kelis kartus per metus užtruks daugiausia mažiau nei valandą – tai sutaupys daug streso.

Dar kartą apsvarstykite paskyros pervadinimą

Idealiu atveju naudotojo vardo atnaujinimas nekeltų nerimo. Vis dėlto, atsižvelgdami į pakartotinio atkūrimo riziką, turėtumėte apsvarstyti galimybę išlaikyti pasenusį vardą. Jei turite pakeisti savo vartotojo vardą, turėtumėte reikalauti ir rezervuoti senąjį vardą, registruodami kitą paskyrą.

Išmintingai naudokite išorinius išteklius

Priklausomybės kelia būdingą riziką, nes sukuria trečiųjų šalių prieigos taškus jūsų programoje. Nors paprastai jie yra verti sutaupo laiko, labai svarbu reguliariai tikrinti projekto priklausomybes. Taip pat turėtumėte imtis kitų saugos priemonių, pavyzdžiui, naudoti SSH autentifikavimą, kad išvengtumėte išnaudojimų.