GitHub 上多款热门开源项目被曝存在身份认证令牌泄露风险

近日，据外媒报道，派拓网络（Palo Alto Networks）旗下的安全部门 Unit 42 发布了一份报告，揭示了托管在 GitHub 上的众多热门开源项目存在身份认证授权令牌（Auth tokens）泄露的严重问题。此问题可能使这些项目面临数据被盗、代码篡改及植入恶意软件的风险。

Unit 42 报告中指出，包括谷歌、微软和 AWS 等知名公司的多个开源项目，在使用 GitHub Actions 自动化 CI / CD 工作流时，存在身份验证令牌泄露的潜在风险。GitHub Actions 是一个常用的自动化工具，可以帮助开发者在云端运行各种开发任务。然而，默认配置和错误设置带来的安全漏洞，可能导致恶意行为者利用泄露的令牌访问私有存储库、窃取或篡改源代码。

报告特别提到，问题的根源之一是 GitHub 的“actions/checkout”操作。默认情况下，该操作会将 GitHub tokens 保存在本地的 .git 目录中。然而，如果开发者将完整的签出目录上传到公共存储库，这些 .git 文件夹中的 GitHub tokens 就可能被无意间暴露出来。这为恶意行为者提供了一个可利用的机会，使其能够轻易获得访问权限并造成潜在的安全威胁。

Unit 42 的专家强调，默认设置和用户配置错误是造成这些问题的主要原因。同时，缺乏严格的安全检查也让这些项目暴露在风险之中。为了减少这些风险，开发者应该定期检查并更新其安全配置，尤其是在使用 CI / CD 工具时。此外，增强对敏感信息的保护意识，避免将包括 .git 目录在内的敏感文件上传到公共存储库，也是防止令牌泄露的重要措施。