Lietojumprogrammas, kas izmanto vecus GitHub repozitoriju nosaukumus kā atkarības, var faktiski novirzīt lietotājus uz ļaunprātīgu programmatūru. Lūk, kas jums jāzina.
Arvien vairāk kļūst redzams, ka GitHub atgriešana rada likumīgu risku izstrādātājiem. Hakeri var izmantot priekšrocības, ko lietotāji un uzņēmumi maina GitHub nosaukumus, nolaupot veco repozitoriju nosaukumus, cerot, ka to pievienotos ļaunprātīgos failus var ielādēt lietojumprogrammas, kas izmanto kodu kā a atkarība.
Tāpēc ir svarīgi, lai jūs veiktu pasākumus, lai aizsargātu savu GitHub projektu, ja nesen mainījāt savu lietotājvārdu vai atsaucāt uz citām krātuvēm kā atkarības.
Kas ir RepoJacking?
GitHub repojacking ir ļaunprātīgas izmantošanas veids, kas var notikt pēc tam, kad repozitorija īpašnieks maina savu lietotājvārdu. Kļūst pieejama vecā lietotājvārda un repozitorija nosaukuma kombinācija, un repojacker var izmantot savas atkarības, pieprasot lietotājvārdu un izveidojot repozitoriju ar tādu pašu nosaukumu.
Repojacking var radīt divus atšķirīgus riska veidus:
- Repojacking var padarīt citādi uzticamu lietojumprogrammu neuzticamu. Ja izmantojat lietojumprogrammu, kas kā atkarību izmanto GitHub repozitoriju, un īpašnieks pārdēvē repozitoriju, lietojumprogrammas izmantošana padarīs jūs neaizsargātu.
- Repojacking var apdraudēt jūsu izstrādāto lietojumprogrammu. Ja atsaucaties uz GitHub repozitoriju kā uz atkarību un nepamanāt vai neatjaunināt to, kad repozitorijs tiek pārdēvēts, jūsu lietojumprogramma būs neaizsargāta pret atkārtotas izmantošanas gadījumiem.
Repojacking nerada milzīgu risku lietotājiem, taču ir pamatots iemesls uzskatīt, ka tā varētu kalpot kā mehānisms nopietnam piegādes ķēdes uzbrukumam. Ja lietojumprogrammai ir atkarība, kas atsaucas uz repojack repozitoriju, tā izsauks un saņems kodu, kurā var būt ļaunprātīga programmatūra.
Ja izstrādājat GitHub, zinot, kā varat samazināt piegādes ķēdes uzbrukumu risku un repojacking — gan tādēļ, ka ir nolaupīts repozitorijs, gan ir trešā puse ar atkarībām — ir ļoti svarīga.
Kā samazināt repoJacking risku
Repojacking uzbrukumi balstās uz ārkārtīgi paredzamu mehānismu: nolaupītāji pārņem vadību pār nepieprasīto krātuvi un pēc tam izmanto visas lietojumprogrammas, kas norāda uz to kā atkarību. Par laimi, tādējādi ir viegli cīnīties ar pārpošanu.
Izveidojiet privātus krātuvju klonus
Repozitorija klonēšana ir lielisks veids, kā samazināt risku, kas saistīts ar jūsu projekta atkarībām, jo jums būs pilnīga kontrole pār savu privāto kopiju. Varat izveidot publiskas repozitorija privātu kopiju, tukšu klonējot un spoguļatspiežot to, kā dokumentēts GitHub.
Rūpīgi izsekojiet savu projektu atkarībām
Ja izlemjat, ka vēlaties izvairīties no problēmām un atsaukties uz publiskajām krātuvēm, jums regulāri jāpārliecinās par savu projektu atkarību pārbaudi. Jūsu atkarību statusa pārbaude dažas reizes gadā aizņems ne vairāk kā stundu, un tas ietaupīs jums daudz stresa.
Atkārtoti apsveriet sava konta pārdēvēšanu
Ideālā gadījumā lietotājvārda atjaunināšana nebūtu iemesls bažām. Tomēr, ņemot vērā pārņemšanas risku, jums vajadzētu apsvērt sava novecojušā vārda saglabāšanu. Ja jums ir jāmaina lietotājvārds, jums ir jāpieprasa un jārezervē vecais vārds, reģistrējot citu kontu.
Saprātīgi izmantojiet ārējos resursus
Atkarības rada raksturīgu risku, jo tās jūsu lietojumprogrammā rada trešās puses piekļuves punktus. Lai gan parasti tie ir ietaupītā laika vērti, ļoti svarīgi ir regulāri pārbaudīt jūsu projektu atkarības. Lai novērstu ļaunprātīgu izmantošanu, jums jāveic arī citi drošības pasākumi, piemēram, jāizmanto SSH autentifikācija.
