阅读 42

重磅丨某代码测试平台因安全漏洞惨遭持续入侵

  据最新消息称,软件测试平台Codecov遭黑客入侵长达数月,该安全漏洞事件将影响其两万九千名客户,致使大量公司数据遭受泄露,造成又一起“供应链”重大安全危机。

Bash Uploader脚本被篡改,下游用户遭威胁

  从2021年1月底开始,攻击者将目标对准Codecov代码测试平台,利用其Docker映像创建过程中出现的错误,非法取得Bash Uploader脚本的访问权限并进行了篡改。这意味着黑客极大程度上可持续将存储在Codecov平台集成(CI)环境中的用户信息导出,并将信息传输到第三方服务器中。

  因Bash Uploader脚本被篡改,将导致:

  ·用户执行Bash Uploader脚本时,通过其CI运行器传递的任何凭据、令牌或密钥都可以被攻击者访问。

  ·攻击者可以使用这些凭据、令牌或密钥访问任何服务、数据存储和应用程序代码。

  ·使用Bash Uploaders将覆盖范围上传到CI中的Codecov的存储库的git远程信息(原始存储库的URL)。

  此次事件对于Codecov的用户来说无异于无妄之灾。据悉,行业内诸多公司使用Codecov代码测试平台来检测代码安全漏洞,其中包括了消费品集团宝洁公司、网络托管公司GoDaddy Inc、华盛顿邮报和澳大利亚软件公司Atlassian Corporation PLC等知名企业。日前Codecov已经对可能受影响的脚本进行了保护和修复。此次入侵事件的威胁程度或可与SolarWinds攻击事件媲美,而面对时而发生的入侵攻击,进一步验证了代码安全检测的重要性。

  中科天齐软件源代码安全检测服务供应商对此次Codecov平台遭受入侵攻击表示遗憾,并建议所有受影响的用户立即将Codecov平台Bashuploaders程序的CI进程重新回滚其环境变量中的所有凭据、令牌或密钥。同时,呼吁广大软件开发企业重视代码安全检测,共同打造和谐、良好的网络环境。

  中科天齐悟空(Wukong)软件源代码安全检测工具(SAST)为您的软件安全保驾护航!咨询热线:400-636-0101.

2.jpg

  软件安全 网络安全的最后一道防线

  中科天齐公司是在中科院计算技术研究所的大力推动下

  以中科院计算所国际领先的自主研究成果

  “软件代码漏洞检测修复平台(Wukong悟空)

  为基础组建的高新技术企业

  关键词标签:Codecov脚本漏洞 代码测试平台 安全漏洞检测 代码安全测试 软件安全检测

  原文链接:www.woocoom.com/b021.html?i…

文章分类
代码人生
文章标签