GitHub, åpen kildekode-utviklernes paradis, er ikke lenger hva det pleide å være. Etter flere år med økende antall meldinger om at angripere utnytter plattformen til å distribuere og snike inn skadevare, har en ny rapport kommet frem til en sjokkerende konklusjon.
Legit Security-rapporten fant at de fleste GitHub Actions ikke er opprettet av verifiserte brukere, ikke blir vedlikeholdt, har sårbarheter og har svært lav sikkerhetsscore.
Roy Blit, forskningssjef hos Legit Security, uttalte seg i en pressemelding om farene dette representerer for bedrifter overalt.
“GitHub er en ekstremt populær plattform. Faktisk bruker mer enn 100 millioner utviklere og over 90 % av Fortune 100-selskapene den.
“Til tross for populariteten er de fleste GitHub Actions-arbeidsflyter usikre på en eller annen måte – fra å være altfor privilegerte til å ha avhengigheter med høy risiko.
“For eksempel har vi i tidligere undersøkelser funnet at selv prosjekter fra globale selskaper som Google og Apache er mangelfulle. Disse funnene er alarmerende fordi GitHub Actions er nøkkelen til kritisk infrastruktur.
“De er koblet til en organisasjons kildekode og distribusjonsmiljø, så når de først er utnyttet, er organisasjonen helt i hendene på angriperen.”
Nøkkelpunkter
- En ny rapport antyder at GitHub Actions utgjør en sikkerhetsrisiko – en stor del av GitHub Actions er ikke opprettet av verifiserte brukere, mangler vedlikehold og har sårbarheter.
- Problemet er betydelig, med bekymringsfulle trender som kjøring av upålitelig kode i tusenvis av arbeidsflyter og usikker avhengighetsstyring.
- Selv om GitHub kan forbedre plattformsikkerheten, må utviklere prioritere sikker kodingspraksis og bruke de innebygde sikkerhetsfunksjonene i Actions.
- Det finnes alternativer, men det er viktig å være påpasselig. Å utforske alternativer som GitLab eller selvbetjente alternativer kommer med sine egne sikkerhetshensyn.
Statistikk over GitHub-handlinger “utover forventningene
I sin undersøkelse avdekket Legit Security også interpolering av upålitelig input i mer enn 7000 arbeidsflyter, kjøring av upålitelig kode i over 2500 arbeidsflyter og bruk av upålitelige artefakter i mer enn 3000 arbeidsflyter.
Av de 19 113 tilpassede GitHub-handlingene var bare 913 opprettet av verifiserte GitHub-brukere , 18 % hadde sårbare avhengigheter, 762 er arkivert og mottar ikke regelmessige oppdateringer, den gjennomsnittlige OSSF-sikkerhetsscoren var 4,23 av 10, og de fleste repositoriene vedlikeholdes av én enkelt utvikler.
Techopedia snakket med Roy Blit fra Legit Security, som fortalte om de overraskende funnene i GitHub-rapporten.
“Vi visste at vi sannsynligvis kom til å finne mange tilfeller av usikre arbeidsflyter og handlinger, men vi hadde ikke forventet at dette skulle være så utbredt. Statistikken vi fant var over all forventning.”
GitHub-ressursers integritetshistorie overskygget
Rapporter som setter spørsmålstegn ved GitHubs ressursers integritet er ikke noe nytt. For å nevne bare et par eksempler, rapporterte Bitdefender i 2022 at tusenvis av PoC-utnyttelser på GitHub var snøret med skadelig programvare, og i 2023 fant Aqua Nautilus at millioner av GitHub-depoter var potensielt sårbare for ‘RepoJacking’.
Blit fra Legit Security diskuterte denne historiske GitHub-trenden og hvorfor deres siste rapport er unik.
“GitHub har faktisk vært under sikkerhetsforskning i ganske lang tid. Denne undersøkelsen fokuserer imidlertid spesifikt på GitHub Actions – CI/CD-tjenesten [kontinuerlig integrasjon og kontinuerlig distribusjon] som tilbys av GitHub,” sa Blit.
“Vi har gjennomført en grundig undersøkelse av ulike aspekter ved GitHub Actions, noe som ikke har blitt gjort tidligere i dette omfanget, og det er viktig å utdanne open source-fellesskapet i denne saken for å forhindre at angripere tar over CI/CD-rørledningene til kritiske prosjekter.”
Vaibhav Malik, Global Partner Solutions Architect Leader hos Cloudflare, uttrykte sjokk over omfanget av funnene i denne nye rapporten til Techopedia:
“Et av de mest sjokkerende funnene er det enorme omfanget av potensielle sårbarheter. Undersøkelsen avdekket interpolering av upålitelig input i over 7000 arbeidsflyter og kjøring av upålitelig kode i over 2500 arbeidsflyter.”
“Gitt GitHubs utbredte bruk blant utviklere og store selskaper, er den potensielle effekten av disse sårbarhetene bekymringsfull”, sier Malik.
“I tillegg er det alarmerende at 98 % av referansene som brukes av jobber og trinn, ikke følger beste praksis for “dependency pinning”. Dette gjør at mange arbeidsflyter potensielt kan bli utsatt for uventede endringer eller oppdateringer.”
Malik forklarer at funnene er spesielt relevante fordi de fremhever sårbarheter i GitHub Actions, som har blitt kritiske for mange organisasjoners utviklings- og distribusjonsrutiner.
“I motsetning til tidligere sikkerhetsproblemer som kan ha fokusert på tilgang til repositoriet eller kodeintegritet, kan disse sårbarhetene gjøre det mulig for angripere å manipulere de automatiserte prosessene som bygger, tester og distribuerer kode.”
Alternativer for utviklere som ønsker å spille proff og sikker
Selv om GitHub fortsatt er en stor aktør, finnes det andre alternativer for kodehosting og samarbeid. De som ikke er så innbitte GitHub-fans, kan for eksempel tenke på å gå videre til skybaserte alternativer som AWS CodeCommit, Azure DevOps Server (for Microsoft-miljøer) eller prøve andre plattformer som Bitbucket eller GitLab, en sterk konkurrent med lignende funksjoner.
Men Blit fra Legit Security sier at utviklere og selskaper kanskje bør vurdere andre faktorer.
“De fleste av risikoene som presenteres i denne undersøkelsen, er faktisk relevante for nesten alle CI/CD-tjenester der ute. For eksempel er det viktig å knytte avhengigheter til en bestemt versjon (for å forhindre at den endres uten utviklerens viten), uansett hvilken CI-tjeneste du bruker. Utviklere må bare huske på å jobbe i henhold til beste praksis og unngå sikkerhetsfellene som presenteres i rapporten.”
Malik fra Cloudflare sa til Techopedia at basert på forskningsresultatene bør utviklere vurdere følgende tiltak:
- Implementere strengere sikkerhetspraksis når du skriver GitHub Actions-arbeidsflyter, spesielt når det gjelder håndtering av hemmeligheter og forebygging av kodeinjeksjon.
- Vær mer forsiktig når du bruker tredjeparts Actions fra markedsplassen. Prioriter Actions fra verifiserte skapere og de med høyere sikkerhetsscore.
- Bruk GitHubs innebygde funksjoner for å kontrollere atferden til GitHub Actions for å håndheve beste praksis.
Bevissthet om tilstanden til GitHub-ressurser og kunnskap om risikoen forbundet med GitHub Actions, samt integrering av flere sikkerhetsverktøy, er også en god idé fremover. Malik snakket om de som ser etter nye plattformer.
“Som alternativer kan utviklere vurdere andre CI/CD-plattformer med potensielt sterkere sikkerhetsfunksjoner, eller se nærmere på selvhostede løpere og tilpassede handlingsimplementeringer som gir bedre kontroll over kjøringsmiljøet. Alle alternativer bør imidlertid evalueres nøye med tanke på potensielle sikkerhetskonsekvenser.”
Konklusjon
Rapporten fra Legit Security er en vekker for utviklere og organisasjoner som er avhengige av GitHub Actions. Bekvemmeligheten ved disse automatiserte verktøyene kommer med en sikkerhetsrisiko, spesielt med tanke på utbredelsen av uvedlikeholdte handlinger og usikker kodingspraksis.
Dette betyr ikke at man må forlate GitHub helt. Det er imidlertid avgjørende å prioritere sikkerhet når du bruker Actions, og anbefalingene fra både Blit og Malik gir en klar veikart: strengere sikkerhetspraksis, ansvarlig valg av tredjepartshandlinger og utnyttelse av innebygde sikkerhetsfunksjoner.
For de som ønsker den strengeste kontrollen, kan det være et alternativ å utforske alternative CI/CD-plattformer eller selvbetjente løsninger. Men husk at sikkerhet er en konstant kamp uansett hvor du går. Til syvende og sist er det en kombinasjon av bevissthet, beste praksis og potensielt flere sikkerhetsverktøy som vil holde utviklingspipelinen trygg.