مخاطر هجوم سلسلة التوريد على GitHub CodeQL: ثغرة تستمر لمدة 1.022 ثانية
2025-03-30
اكتشف باحث سرًا مُعرّضًا للعلن في GitHub CodeQL، استمر لمدة 1.022 ثانية فقط، لكنه كان بإمكانه أن يؤدي إلى هجوم مدمر لسلسلة التوريد. خلال هذه الفترة القصيرة، كان بإمكان المُهاجم الحصول على حق الوصول الكامل للكتابة إلى سير عمل CodeQL، وسرقة رمز المصدر من المستودعات الخاصة، وأسرار GitHub Actions، وحتى تنفيذ التعليمات البرمجية على البنية التحتية الداخلية. والأكثر خطورة، أن المُهاجمين كان بإمكانهم تعديل وسم الإصدار المُستخدم بواسطة سير عمل CodeQL الافتراضي، مما يؤثر على جميع المستودعات التي تستخدم CodeQL. تم إصلاح الثغرة الأمنية، لكنها تُبرز أهمية أمن CI/CD.
اقرأ المزيد
التكنولوجيا
أمن CI/CD