|
Уязвимости Cordyceps в CI/CD процессах подвергают более 300 репозиториев GitHub риску атак на цепочку поставок
https://blogger.googleusercontent.co...1000085115.jpg
Исследователи в области кибербезопасности выявили новый класс уязвимостей в CI/CD (непрерывной интеграции и непрерывной доставке), которые позволяют злоумышленникам захватывать рабочие процессы и компрометировать цепочки поставок в открытом исходном коде. Эта "критически уязвимая модель" получила кодовое название Cordyceps и была обнаружена компанией Novee Security. Уязвимость может предоставить злоумышленникам полный контроль над репозиториями более 300 организаций по всему миру, включая такие крупные компании, как Microsoft, Google и Apache. Это создает серьезные риски для безопасности, так как злоумышленники могут внедрять вредоносный код в проекты, что может привести к масштабным атакам на пользователей и компании. Исследование показало, что уязвимости Cordyceps позволяют манипулировать CI/CD рабочими процессами, что может привести к изменению кода, который затем развертывается в продуктивной среде. Это подчеркивает важность защиты этих процессов от несанкционированного доступа. Специалисты рекомендуют организациям пересмотреть свои механизмы безопасности, связанные с CI/CD, и внедрить дополнительные меры защиты, включая аудит прав доступа и мониторинг активности в репозиториях. В условиях растущих угроз кибербезопасности компании должны быть особенно внимательны к вопросам безопасности своих цепочек поставок, особенно в свете недавних атак на открытые проекты, которые уже привели к значительным последствиям. Уязвимость Cordyceps служит напоминанием о необходимости постоянного мониторинга и укрепления безопасности в области разработки программного обеспечения. Источник новости: The Hacker News Читать полностью |
| Время: 23:51 |