当前位置: 商业快讯 > 正文

卡巴斯基在GitHub Actions工作流中发现了超过250,000个潜在安全隐患

2026-07-07 13:36:01       来源:今日热点网

卡巴斯基全球研究与分析团队(GReAT)对星标最多的代码仓库中的GitHub Actions工作流进行了一次大规模审查。研究人员借助新推出的卡巴斯基容器安全功能,发现了8个存在严重错误配置的代码仓库,这些配置可能导致供应链被入侵。

开源组件如今对于现代软件工程而言已是不可或缺。然而,它们也带来了隐蔽的供应链攻击途径,例如TeamPCP于2026年5月发起的备受瞩目的Mini Shai-Hulud攻击行动。该攻击利用了GitHub Actions构建流水线中的漏洞,导致超过 170 个 npm 和 PyPI 软件包受到污染,影响了诸如TanStack、Mistral AI以及OpenSearch等项目。总体而言,配置不当的GitHub Actions工作流会将受信任的开发管道转变为危险的入侵入口,使攻击者能够入侵自动化工作流、将恶意代码引入生产环境,或访问关键基础设施密钥。

卡巴斯基全球研究与分析团队的专家已完成对GitHub Actions工作流的评估,分析了该平台300,000个最受欢迎的星标仓库中的超过130,000条管道。研究人员利用最新卡巴斯基容器安全更新中引入的专用扫描规则集,在持续集成/持续交付(CI/CD)流程中识别出超过250,000个潜在错误配置,这凸显了不安全的配置做法已广泛存在。在分析的仓库中,仅有10%的仓库未触发任何警报。

根据卡巴斯基的分类标准,在已发现的问题中,59.8%被归类为低风险,39.8%为中等风险,0.4%属于高风险类别。最常见的问题包括隐式授予或过于宽泛的访问权限、依赖项缺少版本锁定以及工作流级别的设置不当。较少数的代码仓库存在暴露顶级密钥、使用不安全的运行条件或不安全地处理外部数据等问题,这些问题可能导致更为严重的入侵。

在被识别为高风险的200个代码仓库中,该团队发现了8个存在严重缺陷的仓库,这些缺陷可能导致供应链被入侵。受影响的代码库涉及广泛的应用场景,包括企业环境中的AI集成、开发者和自动化服务以及安全测试工具。已发现的严重问题已报告给相应的开发者。

“过去一年中,我们观察到了严重的供应链攻击,而这些攻击本可以通过遵循安全的CI/CD配置指南来加以防范,”卡巴斯基GReAT首席安全研究员Leonid Bezvershenko表示:“虽然暴露出的问题并不直接等同于可被利用的漏洞,但它们指出了开发人员应当验证并加强配置的领域。通过及早识别这些薄弱环节,企业可以构建更具韧性的开发管道,并降低供应链遭到破坏的风险。我们为容器安全解决方案制定的规则,提供了一个切实可行的框架,可在这些漏洞被利用之前将其识别并修复。”

为了检测并消除由错误配置引起的潜在安全问题,卡巴斯基容器安全的用户可以利用GitHub仓库扫描功能,无论该功能是直接嵌入到CI/CD管道中,还是以独立模式运行。

有关本研究的更多详情,请参阅卡巴斯基日报。

更多有关卡巴斯基工期安全的详情,请点击这个链接。

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全与数字隐私公司。凭借其网络免疫概念,卡巴斯基致力于推动行业创新,保护消费者、企业、关键基础设施及政府机构免受网络威胁。迄今为止,已有超过十亿台设备受到卡巴斯基的保护。

卡巴斯基确保“忠于业务”的网络安全,专注于提供明确的结果、保护营收、减轻工作负载并防止系统停机。卡巴斯基深厚的威胁情报和安全专业知识不断转化为适用于各种规模组织(从小型企业到大型企业)的创新解决方案和服务,将经过验证的 AI 驱动防护技术与简单的管理和专家支持相结合。

卡巴斯基广受独立测试机构认可,并获得全球数百万个人用户及近20万家企业的信赖。我们助力客户更早发现威胁、更快做出响应,并以更大的信心和自由度开展业务,从而保护客户最核心的价值。

免责声明:市场有风险,选择需谨慎!此文仅供参考,不作买卖依据。

关键词:

责任编辑:kj005

文章投诉热线:157 3889 8464  投诉邮箱:7983347 16@qq.com

资讯图集

科技推荐

数码推荐

家电推荐

资讯排行

商业快讯

卡巴斯基在GitHub Actions工作流中发现了超过250,000个潜在安全隐患

2026-07-07 13:36:01   今日热点网

卡巴斯基全球研究与分析团队(GReAT)对星标最多的代码仓库中的GitHub Actions工作流进行了一次大规模审查。研究人员借助新推出的卡巴斯基容器安全功能,发现了8个存在严重错误配置的代码仓库,这些配置可能导致供应链被入侵。

开源组件如今对于现代软件工程而言已是不可或缺。然而,它们也带来了隐蔽的供应链攻击途径,例如TeamPCP于2026年5月发起的备受瞩目的Mini Shai-Hulud攻击行动。该攻击利用了GitHub Actions构建流水线中的漏洞,导致超过 170 个 npm 和 PyPI 软件包受到污染,影响了诸如TanStack、Mistral AI以及OpenSearch等项目。总体而言,配置不当的GitHub Actions工作流会将受信任的开发管道转变为危险的入侵入口,使攻击者能够入侵自动化工作流、将恶意代码引入生产环境,或访问关键基础设施密钥。

卡巴斯基全球研究与分析团队的专家已完成对GitHub Actions工作流的评估,分析了该平台300,000个最受欢迎的星标仓库中的超过130,000条管道。研究人员利用最新卡巴斯基容器安全更新中引入的专用扫描规则集,在持续集成/持续交付(CI/CD)流程中识别出超过250,000个潜在错误配置,这凸显了不安全的配置做法已广泛存在。在分析的仓库中,仅有10%的仓库未触发任何警报。

根据卡巴斯基的分类标准,在已发现的问题中,59.8%被归类为低风险,39.8%为中等风险,0.4%属于高风险类别。最常见的问题包括隐式授予或过于宽泛的访问权限、依赖项缺少版本锁定以及工作流级别的设置不当。较少数的代码仓库存在暴露顶级密钥、使用不安全的运行条件或不安全地处理外部数据等问题,这些问题可能导致更为严重的入侵。

在被识别为高风险的200个代码仓库中,该团队发现了8个存在严重缺陷的仓库,这些缺陷可能导致供应链被入侵。受影响的代码库涉及广泛的应用场景,包括企业环境中的AI集成、开发者和自动化服务以及安全测试工具。已发现的严重问题已报告给相应的开发者。

“过去一年中,我们观察到了严重的供应链攻击,而这些攻击本可以通过遵循安全的CI/CD配置指南来加以防范,”卡巴斯基GReAT首席安全研究员Leonid Bezvershenko表示:“虽然暴露出的问题并不直接等同于可被利用的漏洞,但它们指出了开发人员应当验证并加强配置的领域。通过及早识别这些薄弱环节,企业可以构建更具韧性的开发管道,并降低供应链遭到破坏的风险。我们为容器安全解决方案制定的规则,提供了一个切实可行的框架,可在这些漏洞被利用之前将其识别并修复。”

为了检测并消除由错误配置引起的潜在安全问题,卡巴斯基容器安全的用户可以利用GitHub仓库扫描功能,无论该功能是直接嵌入到CI/CD管道中,还是以独立模式运行。

有关本研究的更多详情,请参阅卡巴斯基日报。

更多有关卡巴斯基工期安全的详情,请点击这个链接。

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全与数字隐私公司。凭借其网络免疫概念,卡巴斯基致力于推动行业创新,保护消费者、企业、关键基础设施及政府机构免受网络威胁。迄今为止,已有超过十亿台设备受到卡巴斯基的保护。

卡巴斯基确保“忠于业务”的网络安全,专注于提供明确的结果、保护营收、减轻工作负载并防止系统停机。卡巴斯基深厚的威胁情报和安全专业知识不断转化为适用于各种规模组织(从小型企业到大型企业)的创新解决方案和服务,将经过验证的 AI 驱动防护技术与简单的管理和专家支持相结合。

卡巴斯基广受独立测试机构认可,并获得全球数百万个人用户及近20万家企业的信赖。我们助力客户更早发现威胁、更快做出响应,并以更大的信心和自由度开展业务,从而保护客户最核心的价值。

免责声明:市场有风险,选择需谨慎!此文仅供参考,不作买卖依据。

责任编辑:kj005

相关阅读

美图推荐

精彩推荐