Rakendused, mis kasutavad sõltuvustena GitHubi vanu hoidlate nimesid, võivad tegelikult kasutajad pahavara juurde juhtida. Siin on, mida peate teadma.

Üha enam ilmneb, et GitHubi taaskasutamine kujutab arendajatele õigustatud ohtu. Häkkerid saavad vana hoidla kaaperdamisega ära kasutada seda, et kasutajad ja ettevõtted muudavad oma GitHubi nimesid nimesid lootuses, et nende lisatud pahatahtlikud failid saavad alla laadida rakendused, mis kasutavad koodi a sõltuvus.

Seetõttu on oluline, et võtaksite meetmeid oma GitHubi projekti kaitsmiseks, kui muutsite hiljuti oma kasutajanime või viitasite muudele hoidlatele sõltuvustena.

Mis on RepoJacking?

GitHubi repojacking on teatud tüüpi ärakasutamine, mis võib toimuda pärast seda, kui hoidla omanik muudab oma kasutajanime. Vana kasutajanime ja hoidla nime kombinatsioon muutub kättesaadavaks ning repojacker saab selle sõltuvusi ära kasutada, nõudes kasutajanime ja hoidla loomine sama nimega.

Repojacking võib kujutada endast kahte erinevat tüüpi riski:

instagram viewer
  • Repojacking võib muuta muidu usaldusväärse rakenduse ebausaldusväärseks. Kui kasutate rakendust, mis kasutab sõltuvusena GitHubi hoidlat ja omanik nimetab hoidla ümber, jätab rakenduse kasutamine teid haavatavaks.
  • Repojacking võib teie arendatava rakenduse ohtu seada. Kui viitate GitHubi hoidlale kui sõltuvusele ja ei märka ega värskenda seda hoidla ümbernimetamisel, on teie rakendus haavatav repojacking exploitide suhtes.

Repojacking ei kujuta kasutajatele tohutut ohtu, kuid on õigustatud põhjust arvata, et see võib toimida tõsise tarneahela rünnaku mehhanismina. Kui rakendusel on sõltuvus, mis viitab taaskasutatud hoidlale, kutsub see taaskasutajatelt koodi, mis võib sisaldada pahavara, ja võtab neilt vastu koodi.

Kui arendate GitHubis, teades, kuidas saate minimeerida oma tarneahela rünnakute riski ja repojacking – nii kaaperdatud hoidla kui ka sõltuvustega kolmanda osapoole seisukohast – on eluliselt tähtis.

Kuidas minimeerida repoJacki riski

Repojacking-rünnakud põhinevad äärmiselt prognoositaval mehhanismil: kaaperdajad võtavad kontrolli nõudmata hoidla üle ja kasutavad seejärel ära kõik rakendused, mis viitavad sellele sõltuvusele. Õnneks muudab see tagasipoegamise vastu võitlemise lihtsaks.

Looge hoidlate privaatsed kloonid

Hoidla kloonimine on suurepärane viis oma projekti sõltuvustega seotud riski minimeerimiseks, sest teil on täielik kontroll oma isikliku koopia üle. Saate luua avalikust hoidlast privaatse koopia, kloonides seda paljalt ja lükates seda peeglisse, nagu on dokumenteeritud GitHub.

Jälgige hoolikalt oma projekti sõltuvusi

Kui otsustate, et eelistaksite probleeme vältida ja viidata avalikele hoidlatele, peaksite oma projekti sõltuvusi sageli auditeerima. Sõltuvuste oleku kontrollimine paar korda aastas võtab maksimaalselt alla tunni ja see säästab teid palju stressist.

Kaaluge oma konto ümbernimetamist uuesti

Ideaalis ei tekitaks teie kasutajanime ajakohasena hoidmine muret. Arvestades taaspoogimise ohtu, peaksite siiski kaaluma oma vananenud nime säilitamist. Kui peate oma kasutajanime muutma, peaksite taotlema ja reserveerima vana nime, registreerides teise konto.

Kasutage väliseid ressursse targalt

Sõltuvused kujutavad endast loomupärast riski, kuna need loovad teie rakenduses kolmanda osapoole pääsupunkte. Kuigi need on tavaliselt säästetud aega väärt, on teie projekti sõltuvuste regulaarne auditeerimine ülioluline. Samuti peaksite kasutama muid turvameetmeid, näiteks kasutama SSH-autentimist, et vältida ärakasutamist.