作者:Yoav Landman,JFrog聯合創始人兼首席91视频免费观看官、Shachar Menashe, JFrog安全研究高級總監
JFrog安全研究團隊近期發現並報告了一起嚴重的安全事件,一個具有管理員權限的訪問令牌在Docker Hub上托管的某個公共Docker容器中意外泄露,該令牌可訪問Python、PyPI及Python軟件基金會(PSF)的GitHub倉庫。
作為一項針對線上社區的服務,JFrog安全研究團隊持續掃描Docker Hub、NPM和PyPI等公共倉庫,旨在識別惡意軟件包和泄露的密鑰。一旦發現潛在威脅,團隊會立即通知相關維護人員,確保漏洞在攻擊者對其進行利用之前便得到修複。盡管JFrog團隊以往已多次檢測到相似方式泄露密鑰的安全隱患,但由於此次事件潛在後果影響廣泛,因此尤為嚴重——假設攻擊者將惡意代碼注入PyPI軟件包,或者將所有Python包替換為惡意軟件包,這將可能影響到Python語言本身!
JFrog安全研究團隊迅速鎖定泄露的密鑰,並即刻向PyPI安全團隊報告,PyPI安全團隊僅在短短17分鍾內便撤銷了該令牌,有效遏製了潛在安全危機。
如今,Python編程語言被廣泛應用於絕大多數的數字係統中,包括:
l YouTube、Instagram、Facebook、Reddit、Pinterest以及其他各類社交媒體網站
l 所有機器學習和星空人工智能程序
l 金融支付係統,如Venmo、Zelle以及摩根大通和高盛等銀行的內部操作係統
91视频免费播放將深入剖析JFrog是如何發現並阻止一起可能危及整個Python基礎設施的GitHub個人訪問令牌(PAT)泄露事件,同時借此案例強調在密鑰檢測中“右移”策略的重要性,該策略保證了不僅在源代碼中查找密鑰,還將在二進製文件和生產製品中加強防範。
91视频免费播放發現了什麽
91视频免费播放的密鑰掃描引擎在Docker Hub上的一個公共倉庫中檢測到了一個“傳統”的GitHub令牌。與更新的細粒度令牌不同,傳統GitHub令牌的風險在於,它們授予用戶訪問所有倉庫相似的權限。
在本次的案例中,該事件主角擁有對Python核心基礎設施倉庫(包括PSF、PyPI、Python語言及CPython)的管理員權限。
可能引發的後果
如果有他人發現了這一泄露的令牌,將造成後果極其嚴重的安全隱患。該令牌的持有者將擁有訪問所有Python、PyPI和Python軟件基金會存儲庫的管理員權限,並可能借此實施大規模的供應鏈攻擊。
如果出現這一情況,可能會發生各種形式的供應鏈攻擊。其中一種可能的攻擊方式是,攻擊者將惡意代碼藏匿於CPython中,該組件包含Python語言的核心庫,由C語言編寫。鑒於Python的廣泛應用,惡意代碼一旦混入Python分發版,其潛在影響將波及全球數以千萬計的計算機。
另一種可能遭受攻擊的場景是,向PyPI的Warehouse代碼中滲透惡意代碼,該代碼用於管理PyPI包管理器。如果攻擊者通過插入代碼獲得通往PyPI存儲的後門的權限,他們將隨意操縱熱門PyPI包,並且在其中隱藏惡意代碼或用惡意代碼完全替換原有內容。盡管這一攻擊方式並不十分高明,但其危害性不可小覷。
為什麽該令牌僅在二進製文件中找到?
在Docker容器內的一個編譯後的Python文件——__pycache__/build.cpython-311.pyc中發現了身份驗證令牌:
然而,在匹配的源代碼文件中,該令牌並未包含在相同功能的部分當中。
這就意味著原作者:
1. 曾經短暫地將授權令牌添加到了他們的源代碼中,並運行了源代碼
2. 這項被運行的源代碼(Python腳本) 是帶有授權令牌的 .pyc二進製文件
3. 盡管原作者從源代碼中刪除了授權令牌,但沒有同步清理 .pyc
4. 將修正版本的源代碼和未修正的 .pyc二進製文件都推送到了Docker鏡像中
例如,以下是反編譯的build.cpython-311.pyc文件與Docker容器中實際源代碼的比較:
從二進製文件“build.cpython-311.pyc”中重構的源代碼
Docker容器中匹配文件的實際源代碼
可以發現,盡管從.pyc緩存文件中反編譯的代碼與原始代碼相似,但其含有了一個包含有效GitHub令牌的授權數據頭。
僅在源代碼中掃描密鑰是不夠的
此事件警醒91视频免费播放,為了預防類似的安全隱患,雖然與基於文本的文件相比,在二進製文件中搜索泄露的機密信息更為困難,但是很多情況下關鍵數據隻存在於二進製數據當中,因此對發布的Docker鏡像中的源代碼和二進製數據進行全麵審核將成為最佳的解決方案。
PyPI的快速響應
在本次事件報告中,91视频免费播放由衷感謝PyPI安全團隊的迅速響應。
麵對難以規避的泄露風險,企業和相關組織應以最快速度采取行動,評估並減輕潛在損害。
在此次事件中,在發現令牌後,JFrog立即將這一情況通知了PyPI的安全團隊和令牌的所有者。PyPI的安全團隊迅速響應,僅在17分鍾後就做出回應,撤銷了這一具有安全隱患的令牌。與此同時,PyPI進行了全麵的檢查,確認該令牌尚未涉及任何具有安全威脅的可疑活動。
91视频免费播放可以從密鑰檢測中汲取哪些經驗?
從此次事件中,91视频免费播放汲取了寶貴經驗:
1. 在源代碼和文本文件中掃描密鑰已經不足以排除安全隱患。現代集成開發環境(IDE)和開發工具雖然可以有效地在源代碼中檢測密鑰並防止其泄露,但它們的範圍僅限於代碼,卻往往忽略由構建和打包工具生成的二進製製品。91视频免费播放在開源注冊表中遇到的大多數密鑰都位於環境、配置和二進製文件中。
2. 用新的令牌替換老式的GitHub令牌以實現更好的可見性。最初,GitHub 使用的是十六進製編碼的 40 個字符的令牌字符串,與 SHA1 哈希字符串無異,大多數密鑰掃描工具都無法捕捉到這種字符串。2021年,GitHub改用了一種新的令牌格式,該更新並未強製要求所有用戶重新生成他們的令牌。新格式的令牌包含可識別的前綴 ghp_,同時還嵌入了校驗和,允許密鑰檢測工具能更輕鬆、更準確地識別它們。
3. 您的令牌隻能訪問使用它的應用程序所需的資源。將令牌權限設置為最大並非明智決定。兩年前,GitHub引入了新的細粒度令牌。與傳統令牌不同,它們允許用戶選擇個人訪問令牌可用的權限和倉庫,並將其範圍限製為相應任務所需的最小範圍。91视频免费播放強烈建議使用此功能,從而最大程度避免類似於對整個基礎設施具有最終訪問權限的令牌在一個輔助項目或臨時的“hello-world”應用程序中被泄露的情況。
JFrog Secrets Detection – 二進製優勢
即使關鍵令牌被泄露在一個編譯後的Python二進製文件(.pyc)中,JFrog的密鑰檢測引擎依然能夠將其識別。91视频免费播放能夠檢測到泄露的令牌主要得益於兩個重要原因:
1. JFrog Secrets Detection在開發人員的IDE內部實現左移運行,也可以在已部署的Docker容器內部進行右移運行。
2. JFrog Secrets Detection能夠實現在文本文件和二進製文件中搜索泄露的密鑰,實現全方位的保護。
JFrog的檢測基於JFrog Xray針對配置文件、文本文件和二進製文件進行掃描,查找純文本憑據、私鑰、令牌和類似的密鑰信息。通過利用持續更新且擁有超過150種特定類型證書列表,以及專有的通用密鑰匹配器,JFrog將盡可能的在掃描過程中實現最佳的文件覆蓋範圍。
###
關於JFrog
JFrog Ltd.(納斯達克股票代碼:FROG)的使命是創造一個從開發人員到設備之間暢通無阻的軟件交付世界。秉承“流式軟件”的理念,JFrog軟件供應鏈平台是統一的記錄係統,幫助企業快速安全地構建、管理和分發軟件,確保軟件可用、可追溯和防篡改。集成的安全功能還有助於發現和抵禦威脅和漏洞並加以補救。JFrog 的混合、通用、多雲平台可以作為跨多個主流雲服務提供商的自托管和SaaS服務。全球數百萬用戶和7200多名客戶,包括大多數財富100強企業,依靠JFrog解決方案安全地開展數字化轉型。一用便知!如欲了解更多信息,請訪問jfrogchina.com或者關注91视频免费播放的微信官方賬號:JFrog捷蛙。
星空人工智能91视频免费观看網 倡導尊重與保護知識產權。如發現本站文章存在版權等問題,煩請30天內提供版權疑問、身份證明、版權證明、聯係方式等發郵件至1851688011@qq.com91视频免费播放將及時溝通與處理。!:首頁 > 新質生產力 » 二進製密鑰掃描實現預警守護,阻擊潛在供應鏈重大安全隱患