אפליקציות שמשתמשות בשמות מאגר ישנים ב-GitHub כתלות עשויות למעשה להוביל משתמשים לתוכנות זדוניות. הנה מה שאתה צריך לדעת.
זה יותר ויותר ברור ש-GitHub repojacking מהווה סיכון לגיטימי למפתחים. האקרים יכולים לנצל את היתרון של משתמשים וחברות שמשנים את שמות GitHub שלהם על ידי חטיפת מאגר ישן שמות בתקווה שקבצים זדוניים שהם מוסיפים עלולים להילקח על ידי יישומים המשתמשים בקוד בתור א תלות.
חשוב, אם כן, שתנקוט בצעדים כדי להגן על פרויקט GitHub משלך אם שינית לאחרונה את שם המשתמש שלך או התייחסת למאגרים אחרים כתלות.
מה זה RepoJacking?
גזירה חוזרת של GitHub היא סוג של ניצול שיכול להתרחש לאחר שבעל מאגר משנה את שם המשתמש שלו. השילוב הישן של שם המשתמש ושמות המאגר הופכים לזמינים, ו-repojacker יכול לנצל את התלות שלו על ידי דרישת שם המשתמש יצירת מאגר עם אותו שם.
גזירה חוזרת יכולה להוות שני סוגים שונים של סיכון:
- ריפוג'ק יכול להפוך אפליקציה אמינה אחרת ללא אמינה. אם אתה משתמש באפליקציה שמשתמשת במאגר GitHub כתלות והבעלים משנה את שם המאגר, השימוש באפליקציה ישאיר אותך פגיע.
- ריפוג'ק יכול לסכן אפליקציה שאתה מפתח. אם אתה מתייחס למאגר GitHub כתלות ולא מצליח להבחין או לעדכן אותו כאשר שם המאגר ישתנה, היישום שלך יהיה חשוף לניצול ריפוג'ק.
ריפוג'ינג אינו מהווה סיכון אדיר למשתמשים, אך יש סיבה לגיטימית להאמין שהוא יכול לשמש כמנגנון להתקפה רצינית של שרשרת האספקה. אם לאפליקציה יש תלות שמתייחסת למאגר שנחטף מחדש, הוא יבקש ויקלוט קוד מהחובבים מחדש שעלולים להכיל תוכנות זדוניות.
אם אתה מפתח ב-GitHub, לדעת איך אתה יכול למזער את הסיכון שלך להתקפות שרשרת האספקה וגיחה חוזרת - הן במונחים של היותו המאגר החטוף והן בהיותו צד שלישי עם תלות - היא חיונית.
כיצד למזער את הסיכון ל-RepoJacking
התקפות גזירה חוזרות מסתמכות על מנגנון צפוי ביותר: החוטפים משתלטים על מאגר שלא נתבע ואז מנצלים את כל היישומים שמתייחסים אליו כתלות. למרבה המזל, זה הופך קל להילחם ב-repojacking.
צור שיבוטים פרטיים של מאגרים
שיבוט מאגר היא דרך מצוינת למזער את הסיכון הקשור לתלות בפרויקט שלך מכיוון שתהיה לך שליטה מוחלטת על העותק הפרטי שלך. אתה יכול ליצור עותק פרטי של מאגר ציבורי על ידי שיבוט חשוף ודחיפת מראה, כפי שתועד ב GitHub.
עקוב בזהירות אחר התלות בפרויקט שלך
אם תחליט שאתה מעדיף להימנע מהצרות ולהתייחס למאגרים ציבוריים, עליך לוודא שאתה מבקר את התלות בפרויקט שלך לעתים קרובות. בדיקת מצב התלות שלך כמה פעמים בשנה ייקח פחות משעה לכל היותר - וזה יחסוך לך הרבה מתח.
שקול מחדש את שינוי שם החשבון שלך
באופן אידיאלי, שמירת שם המשתמש שלך מעודכנת לא תהיה סיבה לדאגה. עם זאת, בהתחשב בסיכון ל-repojacking, עליך לשקול לשמור על שמך המיושן. אם עליך לשנות את שם המשתמש שלך, עליך לתבוע ולשמור את השם הישן על ידי רישום חשבון אחר.
השתמש בחוכמה במשאבים חיצוניים
תלות מהווה סיכון מובנה מכיוון שהן יוצרות נקודות גישה של צד שלישי באפליקציה שלך. למרות שהם בדרך כלל שווים את הזמן שהם חוסכים, ביקורת קבועה של התלות בפרויקט שלך היא חיונית. כדאי גם לנקוט באמצעי אבטחה אחרים, כגון שימוש באימות SSH, כדי למנוע ניצול.
