חפש מאמרים:
שלום אורח
23.11.2024
 
דף הבית | אודות | פרסום מאמר | מאמרים אחרונים | מאמרים מובילים | כותבים מובילים | הנחיות עריכה | צור קשר | תנאי שימוש | טוויטר |
   
מאמרים בקטגוריות של:

   
 

Legit Security מגלה ומסייעת לתקן פגיעויות בשרשרת האספקה של תוכנה בפרויקטי קוד פתוח של Google Firebase ו-Apache

Legit Security מגלה ומסייעת לתקן פגיעויות בשרשרת האספקה של תוכנה בפרויקטי קוד פתוח של Google Firebase ו-Apacheתל אביב, 14 בספטמבר 2022, (GLOBE NEWSWIRE) :Legit Security, חברת אבטחת סייבר עם פלטפורמה תאגידית לאבטחת שרשרת אספקת התוכנה של הארגון, הודיעה כי גילתה פגיעויות התקפה על שרשרת אספקת התוכנה בפרויקטים פופולריים בקוד פתוח מגוגל ואפאצ'י. הפגיעות שהתגלתה משפיעה על GitHub, מערכת ניהול קוד מקור פופולרית ביותר שנמצאת בליבת שרשרת אספקת התוכנה של ארגונים רבים ומשמשת מפתחי תוכנה באופן גלובלי. צוות המחקר של Legit Security מצא סוג חדש של פגיעות CI/CD בשם GitHub Environment Injection המאפשרת לתוקפים להשתלט על צינור ה-GitHub Actions CI/CD בפרויקט פגיע. כל משתמש GitHub יכול לנצל את הפגיעות הזו כדי לשנות את קוד המקור של הפרויקט, לגנוב סודות, לנוע לרוחב ולתקוף בתוך הארגון, ובסופו של דבר ליזום התקפת שרשרת אספקה דמוית SolarWinds. הפגיעות נמצאה בפרויקט Google Firebase ובפרויקט מסגרת אינטגרציה פופולרי מאוד מבית אפאצ'י. גוגל ואפאצ'י אישרו את הפגיעויות ותיקנו אותן לאחר החשיפה הראשונית של Legit Security. Legit Security פרסמה באתר האינטרנט שלה בלוג גילוי טכני הכולל הנחיות לארגונים לתיקון פגיעות זו. צוות המחקר של Legit Security גילה כי מטען בעל מבנה מיוחד שנכתב למשתנה סביבת GitHub בשם GITHUB_ENV יכול לאפשר לתוקף לבצע קוד בצינור היעד ובכך לשנות את קוד המקור או לסכן את המאגר עצמו. כל משתמש GitHub יכול ליזום התקפה כזו והיא קלה מאוד ליישום. כל מה שצריך לעשות הוא ליצור "בקשת משיכה" או שינוי מוצע לקוד המקור. עצם הגשת בקשת המשיכה תפעיל את פעולת הבנייה עם הפגיעות ותבצע פשרה מוצלחת והתוקף לא צריך לקבל אישור סקירת קוד ממתחזק קוד המקור כדי שזה ייכנס לתוקף. הצוות Legit Security חשף את הבעיות הללו בפני מנהלי פרויקטים של גוגל ואפאצ'י, יחד עם הנחיות לתיקון, ואימת שהחולשות הללו לא נוצלו בידי שחקן מרושע. הפרויקטים תוקנו וכעת בטוחים. עם זאת, אלו אינם הפרויקטים היחידים הרגישים להתקפה מסוג זה. מכיוון שהשימוש בקובץ GITHUB_ENV נחשב כיום לדרך "הבטוחה" לשנות משתני סביבה ב-GitHub Actions, מאגרים רבים משתמשים בתזרימי עבודה שכותבים נתונים לא מהימנים לקובץ זה, מה שמשאיר אותם חשופים להתקפות שרשרת אספקה. "סוג זה של פגיעות מצטרף לפגיעויות רבות אחרות בשרשרת אספקת התוכנה והתקפות שמכוונות לפרויקטים פופולריים בקוד פתוח, כולל GitHub, שהוא הגדול ביותר והמארח דה פקטו של רוב פרויקטי הקוד הפתוח", אמר ליאב כספי, מנהל טכנולוגיה ראשי ומייסד שותף ב-Legit Security. "אנחנו, כקהילת אבטחה, חייבים לבנות את הכלים והתהליכים כדי להתמודד עם האיומים הללו ולאפשר לארגונים לסמוך על תוכנה ולהשתמש בה בבטחה. כאן ב- Legit Security המשימה שלנו היא לאבטח את שרשרת אספקת התוכנה של כל ארגון ואנו מבצעים מחקרי אבטחה פעילים, ומשתפים פעולה ביוזמות להשגת מטרה זו". לדברי Gartner®, כמעט מחצית מהארגונים ברחבי העולם יחוו מתקפה על שרשראות אספקת התוכנה שלהם עד 2025, גידול של פי שלושה מ-2021. חלה עלייה עצומה בניסיונות לפגוע בפרויקטים של קוד פתוח ובשירותי בניית CI/CD, כולל GitHub Actions, כדי לאפשר התקפות נרחבות באמצעות שרשראות אספקת תוכנה.לניתוח מעמיק של הפגיעות GitHub Environment Injection, יחד עם מידע רחב יותר והדרכה כיצד להגן על הארגון שלכם מפני התקפות שרשרת אספקת תוכנה, בקרו באתר ובבלוג של Legit Security. אודות Legit Security Legit Security מגינה על שרשראות אספקת התוכנה מפני התקפה על ידי גילוי ואבטחת הצינורות, התשתית, הקוד והאנשים באופן אוטומטי, כך שעסקים יכולים להישאר בטוחים ובה בעת לאפשר שחרור תוכנה מהיר. Legit Security מספקת פתרון תוכנה כשירות קל ליישום התומך במשאבים בענן ובאופן מקומי ומשלב יכולות גילוי וניתוח אוטומטיים עם מאות מדיניות אבטחה שפותחו בידי מומחי תעשייה עם ניסיון אמיתי באבטחת SDLC. פתרון משולב זה שומר על אבטחת מפעל התוכנה שלך ומספק ביטחון מתמשך שהיישומים שלכם מושקים ללא פגיעויות. קשרי מדיהMedia Contact Tony Keller tkeller@outvox.com*** הידיעה מופצת בעולם על ידי חברת התקשורת הבינלאומית GLOBE NEWSWIRE
 



תגיות המאמר: נוי תקשורת, GLOBE NEWSWIRE
 
     
     
     
   
 
אודות כותב המאמר:

חיים נוי, עיתונאי, עורך ראשי סוכנות החדשות הבינ"ל IPA, עורך ראשי לשעבר סוכנות הידיעות עתים, חבר תא מבקרי התיאטרון באגודת העיתונאים.
 
     
   
 

מאמרים נוספים מאת חיים נוי

מאת: חיים נויעסקים, מימון וכספים29/11/222774 צפיות
NWTN Inc (נאסד"ק: NWTN), חברת טכנולוגיות לניידות עם מודעות לסביבה המביאה לעולם פתרונות ניידות ממוקדת נוסעים ברמת הפרמיום, הודיעה כי הבנייה של מתקן הרכבת הרכב החשמלי שלה באיחוד האמירויות, באזור התעשייה ח'ליפה באבו דאבי (KEZAD), מתבצעת בהתאם ללוח הזמנים, והוא יושלם ברבעון הרביעי של 2022.

מאת: חיים נויהודעות לעיתונות - כללי29/11/222948 צפיות
אירוע הפתיחה בהשתתפות הילרי רודהם קלינטון, ג'יסו ניה, שיידה סולימאני, שירין נשאט עם הופעה מיוחדת של ג'ון בטיסט

מאת: חיים נויעסקים, מימון וכספים26/11/222794 צפיות
רוזן, יועץ לאומי למשקיעים, מעודד את המשקיעים ב- Wine Estates, Inc. להבטיח ייעוץ לפני תאריך יעד חשוב בתביעה ייצוגית בניירות ערך – VWE

מאת: חיים נויעסקים, מימון וכספים26/11/222735 צפיות
רוזן, יועץ למשקיעים בעל שם עולמי, מעודד את המשקיעים ב- Unisys Corporation להשיג ייעוץ לפני תאריך יעד חשוב בתביעה ייצוגית בניירות ערך – UIS

מאת: חיים נויהודעות לעיתונות - כללי25/11/222895 צפיות
רוזן, יועץ למשקיעים גלובלי, מעודד את המשקיעים ב- FIGS, Inc. שצברו עודף הפסדים, להבטיח ייעוץ לפני תאריך יעד חשוב בתביעה ייצוגית בניירות ערך – FIGS

מאת: חיים נויעסקים, מימון וכספים25/11/222707 צפיות
רוזן, חברה מובילה, מעודד את המשקיעים ב- Torrid Holdings שצברו עודף הפסדים, להבטיח ייעוץ לפני תאריך יעד חשוב בתביעה ייצוגית בניירות ערך – CURV

מאת: חיים נויהודעות לעיתונות - כללי25/11/223075 צפיות
בואינג 737 BBJ2 הוא תוספת נהדרת לצי המטוסים הפרטיים הבלעדי של KlasJet מכיוון שהוא אמור לספק את הצרכים הספציפיים של לקוחות בכירים הנוסעים בקבוצות קטנות יותר.

מאמרים נוספים בנושא עסקים, מימון וכספים

מאת: חיים נויעסקים, מימון וכספים29/11/222774 צפיות
NWTN Inc (נאסד"ק: NWTN), חברת טכנולוגיות לניידות עם מודעות לסביבה המביאה לעולם פתרונות ניידות ממוקדת נוסעים ברמת הפרמיום, הודיעה כי הבנייה של מתקן הרכבת הרכב החשמלי שלה באיחוד האמירויות, באזור התעשייה ח'ליפה באבו דאבי (KEZAD), מתבצעת בהתאם ללוח הזמנים, והוא יושלם ברבעון הרביעי של 2022.

מאת: חיים נויעסקים, מימון וכספים26/11/222794 צפיות
רוזן, יועץ לאומי למשקיעים, מעודד את המשקיעים ב- Wine Estates, Inc. להבטיח ייעוץ לפני תאריך יעד חשוב בתביעה ייצוגית בניירות ערך – VWE

מאת: חיים נויעסקים, מימון וכספים26/11/222735 צפיות
רוזן, יועץ למשקיעים בעל שם עולמי, מעודד את המשקיעים ב- Unisys Corporation להשיג ייעוץ לפני תאריך יעד חשוב בתביעה ייצוגית בניירות ערך – UIS

מאת: חיים נויעסקים, מימון וכספים25/11/222707 צפיות
רוזן, חברה מובילה, מעודד את המשקיעים ב- Torrid Holdings שצברו עודף הפסדים, להבטיח ייעוץ לפני תאריך יעד חשוב בתביעה ייצוגית בניירות ערך – CURV

מאת: חיים נויעסקים, מימון וכספים25/11/222583 צפיות
שותפת Web3 רשמית: MRHB מטביעה NFT קשור לנשמה עבור משתתפי פסגת החלאל הגלובלית

מאת: חיים נויעסקים, מימון וכספים24/11/221450 צפיות
רוזן, משרד עורכי דין מהשורה הראשונה, מעודד את המשקיעים ב- Rent the Runway, Inc. שצברו עודף הפסדים, להבטיח ייעוץ לפני תאריך יעד חשוב בתביעה ייצוגית בניירות ערך – RENT

מאת: חיים נויעסקים, מימון וכספים24/11/22572 צפיות
רוזן, משרד עורכי דין מוכר מאוד, מעודד את המשקיעים ב- Freshworks Inc. שצברו עודף הפסדים, להבטיח ייעוץ לפני תאריך יעד חשוב בתביעה ייצוגית בניירות ערך – FRSH

 
 
 

כל הזכויות שמורות © 2008 ACADEMICS
השימוש באתר בכפוף ל תנאי השימוש  ומדיניות הפרטיות. התכנים באתר מופצים תחת רשיון קראייטיב קומונס - ייחוס-איסור יצירות נגזרות 3.0 Unported

christian louboutin replica