GitHub CodeQL供应链攻击风险:1.022秒的隐患
2025-03-30
研究人员发现GitHub CodeQL中一个公开暴露的密钥,持续时间仅为1.022秒,却可能导致严重的供应链攻击。攻击者可在密钥有效期内获取CodeQL工作流程的完整写入权限,从而窃取私有代码库的源代码、GitHub Actions密钥,甚至在内部基础设施上执行代码。更严重的是,攻击者可通过修改CodeQL默认工作流程使用的版本标签,影响所有启用CodeQL的仓库。该漏洞已修复,但凸显了CI/CD安全的重要性。