Ostaessasi tuotteita affiliate-linkkien kautta verkkosivustollamme, saatamme saada komission, josta ei kerry lisäkustannuksia sinulle. Lue lisää 
GitHub Actions on laajalti tunnettu avoimen lähdekoodin kehittäjien työkalu, joka ei kuitenkaan vaikuta olevan enää entisensä. Vuosien ajan on kasvanut huoli siitä, että verkkorikolliset hyödyntävät alustaa levittääkseen haittaohjelmia. Uuden raportin mukaan tilanne on hälyttävä.
Legit Securityn raportin mukaan suurin osa GitHub Actionseista ei ole varmennettujen käyttäjien luomia. Niitä ei myöskään ylläpidetä, ne sisältävät haavoittuvuuksia ja niiden tietoturvapisteet ovat hyvin alhaiset.
Legit Securityn tutkimusjohtaja Roy Blit kommentoi tiedotteessaan tilanteen aiheuttamia tietoturvavaaroja yrityksille:
“GitHub on erittäin suosittu alusta. Itse asiassa yli 100 miljoonaa kehittäjää ja yli 90 prosenttia Fortune 100 -yrityksistä käyttää sitä.
“Suosiostaan huolimatta useimmat GitHub Actions -automatisoinnit ovat tavalla tai toisella turvattomia — ne ovat joko liian avoimia tai niissä on korkean riskin riippuvuuksia.
“Havaitsimme esimerkiksi aiemmassa tutkimuksessamme, että jopa globaalien yritysten, kuten Googlen ja Apachen, projektit ovat tältä osin puutteellisia. Nämä havainnot ovat huolestuttavia, koska GitHub Actions tarjoaa ulkopuolisille avaimet kriittiseen infrastruktuuriin.
“Ne ovat yhteydessä organisaation lähdekoodiin ja sen käyttöönottoon, joten mikäli verkkorikolliset hyödyntävät niitä, voi koko organisaatio olla pahimmassa tapauksessa täysin hyökkääjän armoilla.”
GitHub Actions -tilastot ylittivät odotukset
Tutkimuksessaan Legit Security paljasti lisäksi, että yli 7 000 tapauksessa esiintyi epäluotettavalta vaikuttavaa sisältöä, yli 2 500 tapausta sisälsi epäluotettavaa koodia ja yli 3 000 tapauksessa käytettiin epäluotettavia tuloksia.
- 19 113 mukautetusta GitHub Actionsista vain 913 oli varmennettujen GitHub-käyttäjien luomia.
- 18 prosentissa oli tietoturvan kannalta helposti haavoittuvia riippuvuuksia.
- 762 oli arkistoitu ja niitä ei päivitetä säännöllisesti.
- OSSF keskimääräinen tietoturvapiste oli 4,23/10, ja suurinta osaa arkistoista ylläpiti ainoastaan yksi kehittäjä.
Techopedia keskusteli Legit Securityn Roy Blitin kanssa, joka kertoi näistä yllättävistä havainnoista GitHub-raportissa.
“Tiesimme, että löydämme todennäköisesti paljon turvattomia Actions-automatisointeja, mutta emme odottaneet, että tilanne olisi näin laajalle levinnyt. Löytämämme tilastot ylittivät kaikki ennakko-odotukset.”
GitHub-resurssien eheyttä varjostaa historia
Tällaiset GitHubin tietoturvallisuutta kyseenalaistavat raportit eivät sinänsä ole mitään uutta.
Esimerkiksi Bitdefender raportoi vuonna 2022, että tuhannet repot GitHubissa sisälsivät haittaohjelmia. Vuonna 2023 Aqua Nautilus havaitsi, että miljoonat GitHub-repositoriot olivat haavoittuvia RepoJacking-hyökkäyksille.
Roy Blit Legit Securitystä on käsitellyt kyseistä aihetta ja sitä, miksi yrityksen tuore raportti on niin ainutlaatuinen.
“GitHub on ollut tietoturvatutkijoiden tarkastelun alla jo jonkin aikaa. Tämä tutkimus keskittyy kuitenkin erityisesti GitHub Actions -työkaluun — GitHubin tarjoamaan CI/CD (continuous integration and continuous deployment) -palveluun”, Blit sanoi.
“Olemme suorittaneet perusteellisen tutkimuksen eri näkökohdista GitHub Actionsissa. Vastaavaa ei ole tehty aiemmin tässä mittakaavassa. Mielestämme asiasta on tärkeä kouluttaa avoimen lähdekoodin yhteisöä, jotta hyökkääjiä voitaisiin estää ottamasta haltuunsa sovellusprojektien CI/CD-työkaluja.”
Cloudflaren Global Partner Solutions Architect Leaderin Vaibhav Malik ilmaisi hämmästyksensä tämän uuden raportin tulosten laajuudesta:
“Yksi järkyttävimmistä löydöksistä on potentiaalisten haavoittuvuuksien valtava määrä. Tutkimuksessa havaittiin, että yli 7 000 tapauksessa esiintyi epäluotettavaa sisältöä ja yli 2 500 tapausta sisälsi haitallista koodia.”
“Kun otetaan huomioon GitHubin laaja käyttö kehittäjien ja suurten yritysten keskuudessa, näiden haavoittuvuuksien mahdollinen vaikutus on huolestuttava”, Malik sanoi.
“On myös hälyttävää, että 98 prosenttia työtehtävissä käytetyistä viittauksista ei noudata parhaita käytäntöjä riippuvuuksien hallinnassa. Tämä jättää monet Github Actionsit alttiiksi odottamattomille muutoksille tai päivityksille.”
Malik selitti, että löydökset ovat erityisen merkittäviä, koska ne korostavat GitHub Actionsin haavoittuvuuksia, joista on tullut kriittisiä monien organisaatioiden sovelluskehityksen hallinnoinnissa ja automatisoinnissa.
“Toisin kuin aiemmat tietoturvaan liittyvät huolenaiheet, jotka ovat saattaneet keskittyä repositorioiden käyttöoikeuksiin tai koodin eheyteen, nämä haavoittuvuudet voisivat antaa hyökkääjille mahdollisuuden manipuloida automatisoituja prosesseja, jotka rakentavat, testaavat ja ottavat käyttöön lähdekoodia.”
Vaihtoehtoja kehittäjille, jotka haluavat pelata varman päälle
Vaikka GitHub on edelleen merkittävä toimija alallaan, on lähdekoodin hallinnointiin muitakin vaihtoehtoja. Ne, jotka eivät välitä niin paljon GitHubista, saattavat harkita siirtymistä pilvipohjaisiin vaihtoehtoihin, kuten AWS CodeCommitiin tai Azure DevOps Serveriin.
Esimerkiksi Bitbucket tai GitLab ovat edellä mainittujen nimien ohella vastaavilla ominaisuuksilla varustettuja, vahvoja vaihtoehtoja.
Legit Securityn Blitin mukaan kehittäjien ja yritysten on kuitenkin huomioitava myös muita tekijöitä.
“Useimmat tässä tutkimuksessa esiin nostetut riskit koskevat itse asiassa lähes kaikkia CI/CD-palveluita. Esimerkiksi riippuvuuksien asentaminen tiettyyn versioon siksi, ettei niitä voida muuttaa ilman kehittäjän tietoa, on tärkeää tietoturvallisuuden kannalta. Kehittäjien on vain muistettava noudattaa parhaita käytäntöjä ja välttää raportissa esiin tuotuja tietoturva-aukkoja.”
Cloudflaren Malik mainitsi Techopedialle, että tutkimustulosten perusteella sovelluskehittäjien tulisi harkita seuraavia toimenpiteitä:
- Kirjoittaessaan GitHub Actions -automatisointeja kehittäjien tulisi ottaa käyttöön tiukempia tietoturvakäytäntöjä – erityisesti salaisen tiedon käsittelyssä ja injektioiden estämisessä.
- Kolmannen osapuolen Actionseja käytettäessä tulisi olla erittäin varovainen. Ensisijaisesti tulisi valita Actionseja vain varmennetuista lähteistä ja niistä, joilla on korkeat tietoturvapisteet.
- GitHubin sisäänrakennettuja ominaisuuksia Actions-työkalun hallinnassa tulisi hyödyntää parhaiden käytäntöjen mukaisesti.
On lisäksi tärkeää tiedostaa GitHubin resurssien tila, tuntea niihin liittyvät riskit ja integroida tarvittaessa muitakin tietoturvaan liittyviä työkaluja. Malik puhui myös niille, jotka etsivät uusia alustoja versionhallintaan.
“Kehittäjät saattavat harkita vaihtoehdoksi muita CI/CD-alustoja, joissa on mahdollisesti vahvempia tietoturvaominaisuuksia, tai ylläpitää omia ratkaisuja ja mukautettuja ympäristöjä. Jokainen vaihtoehto tulisi kuitenkin arvioida huolellisesti sen mahdollisten tietoturva-aukkojen osalta.”
Yhteenveto – Github Actions
Legit Securityn raportti toimii varmasti herätteenä monille kehittäjille ja organisaatioille, jotka luottavat GitHub Actionseihin. Näiden automatisoitujen työkalujen kätevyys tuo mukanaan tietoturvariskejä, jotka on syytä ottaa vakavasti.
Tämä ei tarkoita sitä, että GitHubista pitäisi luopua kokonaan. On kuitenkin tärkeää asettaa tietoturva etusijalle etenkin Github Actions -työkalua käytettäessä.
Sekä Blitin että Malikin suositukset tarjoavat selkeät suuntaviivat: tiukemmat tietoturvakäytännöt, vastuullisen kolmansien osapuolten tehtävien valinnan sekä sisäänrakennettujen tietoturvaominaisuuksien hyödyntämisen.
Niille, jotka haluavat parasta mahdollista tietoturvaa, vaihtoehtoisten CI/CD-alustojen tai itse hallinnoitavien ratkaisujen tutkiminen ja käyttöönotto voi olla vaihtoehto.
On syytä muistaa, että tietoturvasta huolehtiminen on loputon savotta. Viime kädessä tietoisuus tietoturvariskeistä, parhaiden käytäntöjen noudattaminen ja mahdollisten työkalujen käyttö ovat tekijöitä, jotka pitävät lähdekoodisi turvassa.
