GitHub CodeQLサプライチェーン攻撃のリスク:1.022秒の脆弱性
2025-03-30
研究者は、GitHub CodeQLにおいて、わずか1.022秒間公開されていた秘密鍵を発見しました。この短い時間内に、攻撃者はCodeQLワークフローへの完全な書き込み権限を取得し、プライベートリポジトリのソースコードやGitHub Actionsのシークレットを盗み、内部インフラストラクチャでコードを実行できた可能性があります。さらに重要なのは、攻撃者がデフォルトのCodeQLワークフローで使用されるバージョンタグを改ざんすることで、CodeQLを使用するすべてのリポジトリに影響を与える可能性があったことです。この脆弱性は修正されましたが、CI/CDセキュリティの重要性を浮き彫りにしています。
続きを読む
テクノロジー
CI/CDセキュリティ