Legit Security’ye göre GitHub Action’ların çoğu istismara açıktır; aşırı ayrıcalıklıdır veya riskli bağımlılıklara sahiptir.
GitHub Actions güvenlik açıkları büyük riskler oluşturuyor
Raporda, GitHub Actions pazaryerinin güvenlik durumunun özellikle endişe verici olduğu, çoğu özel Action’ın doğrulanmadığı, tek bir geliştirici tarafından yönetildiği veya OpenSSF Puan Kartı’na göre düşük güvenlik puanları ürettiği belirtildi.
GitHub Actions güvenliği, açık kaynak güvenliğinin önemli bir yönüdür. Güvensiz GitHub Actions, saldırganların açık kaynak güvenliğini tehlikeye atmasına ve tedarik zinciri saldırıları başlatmasına veya bunları GitHub kullanan kuruluşlara yönelik ilk saldırı vektörü olarak kullanmasına olanak tanıyabilir.
“GitHub son derece popüler bir platform. Aslında 100 milyondan fazla geliştirici ve Fortune 100 şirketlerinin %90’ından fazlası onu kullanıyor,” diyor Legit Security’de Araştırma Başkanı Roy Blit.
“Ancak, popülaritesine rağmen, GitHub Actions iş akışlarının çoğu bir şekilde güvenli değildir; aşırı ayrıcalıklı olmaktan yüksek riskli bağımlılıklara sahip olmaya kadar. Örneğin, geçmiş araştırmalarımız Google ve Apache gibi küresel kuruluşların projelerinin bile kusurlu olduğunu buldu. Bu bulgular endişe verici çünkü GitHub Actions kritik altyapının anahtarını sağlıyor. Bir kuruluşun kaynak koduna ve dağıtım ortamına bağlıdırlar, bu nedenle bir kez istismar edildiğinde, kuruluş tamamen saldırganın elindedir,” diye ekledi Blit.
GitHub, geliştiricilerin geliştirme projelerinde birlikte çalışabilmelerini ve birbirlerinin değişikliklerini gerçek zamanlı olarak görebilmelerini sağlayarak geliştirici topluluğu için hızla temel bir kaynak haline geldi. GitHub Actions, olay odaklı tetikleyiciler aracılığıyla yazılım geliştirme yaşam döngüsüne otomasyon ekler. Bu tetikleyiciler, bir çekme isteği oluşturmaktan bir depoda yeni bir dal oluşturmaya kadar uzanan belirli olaylardır.
Şaşırtıcı olmayan bir şekilde GitHub kullanıcıları büyümeye devam ediyor; Ocak 2023 itibarıyla 4 milyondan fazla kuruluş ve 28 milyondan fazlası herkese açık olmak üzere 420 milyondan fazla depo bulunuyor.
GitHub Actions iş akışlarında güvenlik açıkları bulundu
Araştırmacılar, 7.000’den fazla iş akışında güvenilmeyen girdilerin enterpolasyonunu; 2.500’den fazla iş akışında güvenilmeyen kodun yürütülmesini ve 3.000’den fazla iş akışında güvenilmeyen yapıtların kullanımını ortaya çıkardı.
Legit, önemli riskleri ortaya çıkararak tetikleyicileri, işleri, adımları, koşucuları ve izinleri inceledi. Örneğin, işler ve adımlar tarafından kullanılan referansların %98’i, beklenmeyen değişikliklere veya güncellemelere karşı koruma sağlayan bağımlılık sabitlemenin en iyi uygulamasını takip etmiyor ve iş akışlarının %86’sı belirteç izinlerini sınırlamıyor.
Legit, GitHub Actions yeteneklerini geliştirmek için topluluk tarafından geliştirilen Actions’ın güvenlik durumunu endişe verici buldu. Pazar yerindeki 19.113 özel GitHub Actions’ın yalnızca 913’ü doğrulanmış GitHub kullanıcıları tarafından oluşturuldu; %18’inin güvenlik açığı olan bağımlılıkları vardı; 762’si arşivlendi ve düzenli güncellemeler almıyor; ortalama OSSF güvenlik puanı 10 üzerinden 4,23’tü; ve çoğu tek bir geliştirici tarafından sürdürülüyor.
Ekiplere GitHub Action güvenliği konusunda eğitim verilmesi
Herhangi bir açık kaynak geliştiricisi gibi, Özel Eylemler geliştiricileri de kodlarında bulunan bir güvenlik açığı için CVE yayınlamakla yükümlü değildir ve bazen bunu yapmayı açıkça reddederler.
Özel bir Eyleme katkıda bulunanların sayısı, güvenilirliğini güçlü bir şekilde yansıtır. Daha fazla sayıda katkıda bulunan, daha geniş bir topluluk katılımını ve aktif geliştirmeyi gösterir. Bu işbirlikçi çaba, artan güvenliğe, teste ve genel kaliteye yol açar.
Ne yazık ki, pazaryerindeki GitHub Action’larının çoğu tek bir geliştirici tarafından yönetiliyor. Bunun nedeni, birçok özel Action’ın küçük kapsamlara sahip olması ve oluşturulması ve sürdürülmesi için çok fazla çaba gerektirmemesi olabilir.
Riskleri azaltmak için kuruluşlar, GitHub Actions ile ilişkili güvenlik riskleri, gizli bilgilerin uygun şekilde ele alınması, kod enjeksiyonunun tehlikeleri ve üçüncü taraf Actions’ı kullanmaya yönelik en iyi uygulamalar dahil olmak üzere geliştirme ve operasyon ekiplerini eğitmeyi önceliklendirmelidir.
Ayrıca kuruluşlar, en iyi uygulamaları yürürlüğe koymak ve sürekli güvenlik taraması için GitHub ile sorunsuz bir şekilde entegre olan güvenlik araçlarından yararlanmak amacıyla GitHub Actions davranışını kontrol etmek için GitHub’ın yerleşik özelliklerini kullanmalıdır.