Azok az alkalmazások, amelyek függőségekként régi lerakatneveket használnak a GitHubon, valójában rosszindulatú programokhoz vezethetik a felhasználókat. Íme, amit tudnod kell.

Egyre nyilvánvalóbb, hogy a GitHub repojacking jogos kockázatot jelent a fejlesztők számára. A hackerek a régi adattár eltérítésével kihasználhatják a felhasználók és cégek GitHub-nevének megváltoztatását neveket abban a reményben, hogy az általuk hozzáadott rosszindulatú fájlokat a kódot használó alkalmazások lekérhetik a függőség.

Ezért fontos, hogy tegyen lépéseket saját GitHub-projektje védelmére, ha nemrégiben megváltoztatta a felhasználónevét, vagy más tárolókra hivatkozik függőségekként.

Mi az a RepoJacking?

A GitHub repojacking egyfajta kihasználás, amelyre azután kerülhet sor, hogy az adattár tulajdonosa megváltoztatja a felhasználónevét. A régi felhasználónév és tárnév kombináció elérhetővé válik, és a repojacker kihasználhatja függőségeit a felhasználónév és a tár létrehozása ugyanazzal a névvel.

A repojacking két különböző típusú kockázatot jelenthet:

instagram viewer
  • A repojacking megbízhatatlanná tehet egy egyébként megbízható alkalmazást. Ha olyan alkalmazást használ, amely GitHub-tárolót használ függőségként, és a tulajdonos átnevezi a tárat, az alkalmazás használata sebezhetővé teszi.
  • A repojacking veszélybe sodorhatja a fejlesztés alatt álló alkalmazást. Ha egy GitHub-tárhelyre hivatkozik függőségként, és nem veszi észre vagy frissíti azt a lerakat átnevezésekor, az alkalmazás sebezhető lesz az újbóli behatolásokkal szemben.

A repojacking nem jelent óriási kockázatot a felhasználók számára, de jogos okunk van feltételezni, hogy komoly ellátási lánc támadások mechanizmusaként szolgálhat. Ha egy alkalmazásnak van egy olyan függősége, amely egy újratelepített tárhelyre hivatkozik, akkor olyan kódot hív le és fogad tőlük, amely rosszindulatú programot tartalmazhat.

Ha GitHubon fejleszt, annak tudatában, hogyan teheti meg minimalizálja az ellátási lánc támadásainak kockázatát és a repojacking – mind abból a szempontból, hogy az eltérített adattár, mind pedig a függőségi viszonyokkal rendelkező harmadik félként – létfontosságú.

A RepoJacking kockázatának minimalizálása

A repojacking támadások rendkívül kiszámítható mechanizmuson alapulnak: a gépeltérítők átveszik az irányítást egy nem igényelt adattár felett, majd kihasználnak minden olyan alkalmazást, amely függőségként hivatkozik rá. Szerencsére ez megkönnyíti a visszavágás elleni küzdelmet.

Hozzon létre privát klónokat a tárhelyekről

Adattár klónozása kiváló módja annak, hogy minimalizálja a projektje függőségeiből eredő kockázatot, mivel Ön teljes mértékben kézben tarthatja privát példányát. Létrehozhat egy nyilvános adattár privát másolatát csupasz klónozással és tükrözéssel, a dokumentumban leírtak szerint. GitHub.

Gondosan kövesse nyomon projektfüggőségeit

Ha úgy dönt, hogy szeretné elkerülni a problémákat, és hivatkozni szeretne a nyilvános lerakatokra, ügyeljen arra, hogy gyakran ellenőrizze a projektfüggőségeket. A függőségei állapotának évente néhány alkalommal történő ellenőrzése legfeljebb egy órát vesz igénybe – és sok stressztől kíméli meg Önt.

Fontolja meg újra a fiók átnevezését

Ideális esetben a felhasználónév naprakészen tartása nem ad okot aggodalomra. A visszavágás kockázata miatt azonban érdemes megfontolni az elavult név megtartását. Ha módosítania kell felhasználónevét, egy másik fiók regisztrálásával igényelje és foglalja le a régi nevet.

Használja bölcsen a külső erőforrásokat

A függőségek eredendő kockázatot jelentenek, mivel harmadik féltől származó hozzáférési pontokat hoznak létre az alkalmazásban. Bár általában megéri a megspórolt időt, kulcsfontosságú a projektfüggőségek rendszeres ellenőrzése. A kihasználások megelőzése érdekében más biztonsági intézkedéseket is meg kell tennie, például SSH-hitelesítést kell használnia.