GitHub CodeQL 공급망 공격 위험: 1.022초의 취약점
2025-03-30
연구원은 GitHub CodeQL에서 단 1.022초 동안 공개되었던 비밀 키를 발견했습니다. 이 짧은 시간 동안 공격자는 CodeQL 워크플로에 대한 완전한 쓰기 권한을 얻어 개인 리포지토리의 소스 코드와 GitHub Actions 시크릿을 훔치고 내부 인프라에서 코드를 실행할 수 있었을 것입니다. 더욱 중요한 것은 공격자가 기본 CodeQL 워크플로에서 사용되는 버전 태그를 조작하여 CodeQL을 사용하는 모든 리포지토리에 영향을 미칠 수 있었다는 점입니다. 이 취약점은 수정되었지만 CI/CD 보안의 중요성을 강조합니다.
기술
CI/CD 보안