GitHub 上托管的许多开源项目被发现存在 Auth 令牌泄露

IT之家8月16日报道，Palo Alto Networks 公司安全部门 Unit 42 于8月13 日发布报告称，托管在 GitHub 上的多个热门开源项目存在身份认证令牌（Auth token）泄露问题，这使得整个项目面临数据被窃取和被恶意代码篡改的风险。

Unit 42 发现许多开源项目（包括谷歌、微软和 AWS 的项目）在其 CI/CD 工作流中使用了 GitHub Actions，从而暴露了身份验证令牌。

如果恶意行为者发现这些令牌，他们可以使用它们访问私有存储库，窃取源代码，甚至篡改源代码，将合法项目变成恶意软件。

第42部队表示，默认设置、用户配置错误和安全检查不足等问题是问题的核心。

其中一个关键问题在于“actions/checkout”操作，该操作默认将 GitHub 令牌保存在本地 .git 目录中（隐藏）。

但是，如果开发人员出于某种原因上传了完整的签出目录，他们可能会无意中在 .git 文件夹中暴露 GitHub 令牌。

该部门在 GitHub 上共发现 14 个开源项目代币：

该部门已将此事上报给 GitHub 及相应的项目方，但 GitHub 表示不会解决该问题，auth token 的安全完全由项目方负责。IT之家在此附上了链接，感兴趣的用户可以深入阅读。

广告声明：文章内所含的外部跳转链接（包括但不限于超链接、二维码、密码等）是为了传递更多信息、节省选择时间，结果仅供参考，IT之家所有文章均含此声明。