GitHub Actions 漏洞可导致攻击者投毒开发管道

向GitHub 上开源仓库提交变更的攻击者，可导致包含组件最新版本的下游软件项目以恶意代码编译更新。

Legit Security 公司发布安全公告指出，这种“制品投毒”弱点可影响使用 GitHub Actions 的软件项目。攻击者在软件依赖中检测到变更时可触发build流程，从而施加影响。

该漏洞并非仅存在于理论上。安全研究人员在管理Rust的项目中模拟了一次攻击活动，导致该项目使用定制化且恶意的热门GCC软件库版本重新编译。

研究人员指出，由于维护人员一般会在实际分析所贡献代码之前测试代码，因此该漏洞可能影响大量开源项目，“这是当前很常见的模式。当前很多开源项目在收到变更请求时，会运行测试对请求进行验证，原因是维护人员并不愿意首先审计代码，而是会自动运行测试。”

该攻击利用的是经由GitHub Actions 开展的自动化构建流程。在Rust编程语言案例中，易受攻击的模式本可导致攻击者在开发管道中，以权限提升的方式执行代码，窃取仓库机密并可能篡改代码，“简言之，在易受攻击的工作流中，任何GitHub 用户可创建构建制品的分叉，之后将该制品注入原始的仓库构建流程中并修改其输出。这是另外一种形式的供应链攻击：构建输出遭攻击者修改。”

该漏洞可造成类似于CodeCov 遭受的恶意软件插入攻击，随后该攻击对下游客户造成影响，“缺乏跨工作流制品通信的原生 GitHub 实现，导致很多项目和 GitHub Actions 社区为跨工作流通信开发不安全的解决方案，并使得这种威胁极其普遍。”

GitHub 证实该问题存在，并颁发赏金。Rust 修复了易受攻击的管道。

软件供应链需要安全

该漏洞是影响软件供应链的最新安全问题。行业和政府机构正不断增强开源软件和软件即服务的安全性。

例如，2021年5月，美国总统拜登发布关于改进国家网络安全的行政令，该联邦法规以及其它规定要求美国政府为所采购的软件设立基准安全标准。在私营行业方面，谷歌和微软已投入数十亿美元提振开源生态系统的安全性。这些开源生态系统为应用代码库平均贡献超过四分之三的代码。

逻辑问题

该安全问题属于难以找到的问题类型即逻辑问题。逻辑问题包括权限问题、将分叉仓库插入管道的可能性以及所分叉和基准仓库之间缺少差异性等。

由于软件项目在推送给维护人员前，通常会使用自动化脚本检查代码提交，因此在任何人工检查恶意代码之前都会自动运行pull请求。虽然自动化节约了时间，但它也成为攻击者将恶意代码插入管道的一种方法。

研究人员指出，“当你进行开源开发时，问题就更大了，因为你接受的时来自全球任何地方人员的贡献。你执行的是自己不信任的东西。”

GitHub 证实了该问题的存在，并扩展了阻止外部协作人员自动将代码插入Actions 管道的方式。该公司更新了GetArtifact 和 ListArtifacts APIs，旨在提供更多有助于判断制品是否值得信任的信息。

研究人员指出，“任何做了和Rust项目一样事情（即信任第三方输入）的人员，他们仍然易受攻击。它是一个逻辑问题。GitHub 只是让人们更容易编写更安全的脚本。”