ପୁନର୍ବାର ଆକ୍ରମଣର ଶିକାର: ବ୍ୟାପକ ଗିଥ୍ ହବ୍ ଆକ୍ସନ୍ସ ଟ୍ୟାଗ୍ ଆପୋଷ ବୁ .ାମଣା |

ପୁନର୍ବାର ଆକ୍ରମଣରେ ତ୍ରୁଟି: ବିସ୍ତୃତ GitHub ଆକ୍ସନ୍ ଟ୍ୟାଗ୍ ଆପୋଷ ବୁ secret ାମଣା ରହସ୍ୟ

ସଫ୍ଟୱେର୍ ଯୋଗାଣ ଶୃଙ୍ଖଳାର ସୁରକ୍ଷା କେବଳ ଏହାର ଦୁର୍ବଳ ଲିଙ୍କ ପରି ଶକ୍ତିଶାଳୀ | ଅସଂଖ୍ୟ ବିକାଶ ଦଳ ପାଇଁ, ସେହି ଲିଙ୍କ୍ ଅତି ସାଧନ ହୋଇପାରିଛି ଯାହାକି ସେମାନେ ଦୁର୍ବଳତା ଖୋଜିବା ଉପରେ ନିର୍ଭର କରନ୍ତି | ଘଟଣାଗୁଡ଼ିକର ପରିପ୍ରେକ୍ଷୀରେ, କୁମ୍ଭ ସୁରକ୍ଷା ଦ୍ୱାରା ପରିଚାଳିତ ଏକ ଲୋକପ୍ରିୟ ମୁକ୍ତ ଉତ୍ସ ଦୁର୍ବଳତା ସ୍କାନର୍ ଟ୍ରାଇଭି ଏକ ଅତ୍ୟାଧୁନିକ ଆକ୍ରମଣର କେନ୍ଦ୍ରରେ ନିଜକୁ ପାଇଲା | ଦୁଷ୍ଟ ଅଭିନେତାମାନେ ଏହାର GitHub ଆକ୍ସନ୍ସ ରେପୋଜିଟୋରୀ ମଧ୍ୟରେ ଏକ ନିର୍ଦ୍ଦିଷ୍ଟ ସଂସ୍କରଣ ଟ୍ୟାଗ୍ (`v0.48.0`) କୁ ଆପୋଷ ବୁ .ାମଣା କରିଥିଲେ, ଏହାକୁ ବ୍ୟବହାର କରୁଥିବା ଯେକ work ଣସି କାର୍ଯ୍ୟ ପ୍ରବାହରୁ ସମ୍ବେଦନଶୀଳ ରହସ୍ୟ ଚୋରୀ କରିବା ପାଇଁ ଡିଜାଇନ୍ ହୋଇଥିବା କୋଡ୍ ଇଞ୍ଜେକ୍ସନ ଦେଇଥିଲେ | ଏହି ଘଟଣା ଏକ ସ୍ମରଣୀୟ ସ୍ମାରକ ଅଟେ ଯେ ଆମର ପରସ୍ପର ସହ ଜଡିତ ବିକାଶ ଇକୋସିଷ୍ଟମରେ, ବିଶ୍ trust ାସ କ୍ରମାଗତ ଭାବରେ ଯାଞ୍ଚ ହେବା ଆବଶ୍ୟକ, ଅନୁମାନ କରାଯାଏ ନାହିଁ |

ଟ୍ୟାଗ୍ ଆପ୍ରୋମାଇଜ୍ ଆଟାକ୍ ର ଆନାଟୋମି |

ଏହା ଟ୍ରାଇଭିର ମୂଳ ପ୍ରୟୋଗ ସଂକେତର ଉଲ୍ଲଂଘନ ନୁହେଁ, କିନ୍ତୁ ଏହାର CI / CD ସ୍ୱୟଂଚାଳିତର ଚତୁର ଉପଦ୍ରବ | ଆକ୍ରମଣକାରୀମାନେ GitHub ଆକ୍ସନ୍ସ ରେପୋଜିଟୋରୀକୁ ଟାର୍ଗେଟ କରି `v0.48.0` ଟ୍ୟାଗ୍ ପାଇଁ` action.yml` ଫାଇଲର ଏକ ଖରାପ ସଂସ୍କରଣ ସୃଷ୍ଟି କରିଥିଲେ | ଯେତେବେଳେ ଏକ ଡେଭଲପର୍ଙ୍କ ୱାର୍କଫ୍ଲୋ ଏହି ନିର୍ଦ୍ଦିଷ୍ଟ ଟ୍ୟାଗ୍ କୁ ସୂଚିତ କରେ, କ୍ରିୟା ଆଇନଗତ ଟ୍ରାଇଭି ସ୍କାନ୍ ଚଳାଇବା ପୂର୍ବରୁ ଏକ କ୍ଷତିକାରକ ସ୍କ୍ରିପ୍ଟ ଏକଜେକ୍ୟୁଟ୍ କରିବ | ଆକ୍ରମଣକାରୀଙ୍କ ଦ୍ୱାରା ନିୟନ୍ତ୍ରିତ ଏକ ସୁଦୂର ସର୍ଭରରେ - ଏହି ସଂଗ୍ରହାଳୟ ରହସ୍ୟ, ଯେପରିକି ସଂଗ୍ରହାଳୟ ଟୋକେନ, କ୍ଲାଉଡ୍ ପ୍ରଦାନକାରୀ ପରିଚୟପତ୍ର, ଏବଂ API ଚାବି - ଏହି ସ୍କ୍ରିପ୍ଟକୁ ଇଞ୍ଜିନିୟରିଂ କରାଯାଇଥିଲା | ଏହି ଆକ୍ରମଣର ଗୁପ୍ତ ପ୍ରକୃତି ଏହାର ନିର୍ଦ୍ଦିଷ୍ଟତା ମଧ୍ୟରେ ଅଛି; ନିରାପଦ "@ v0.48" କିମ୍ବା "@ ମେନ୍" ଟ୍ୟାଗ୍ ବ୍ୟବହାର କରୁଥିବା ଡେଭଲପର୍ମାନେ ପ୍ରଭାବିତ ହୋଇନଥିଲେ, କିନ୍ତୁ ଯେଉଁମାନେ ସଠିକ୍ ଆପୋଷ ଟ୍ୟାଗ୍ ପିନ୍ କରିଥିଲେ ସେମାନେ ଜାଣିଶୁଣି ସେମାନଙ୍କ ପାଇପଲାଇନରେ ଏକ ଗୁରୁତ୍ vulner ପୂର୍ଣ୍ଣ ଦୁର୍ବଳତା ଉପସ୍ଥାପନ କରିଥିଲେ |

କାହିଁକି ଏହି ଘଟଣା DevOps World

ଅନେକ କାରଣ ପାଇଁ ଟ୍ରାଇଭି ଆପୋଷ ବୁ significant ାମଣା ଗୁରୁତ୍ୱପୂର୍ଣ୍ଣ | ପ୍ରଥମେ, ଟ୍ରାଇଭି ହେଉଛି ଏକ ଭିତ୍ତିପ୍ରସ୍ତରୀୟ ସୁରକ୍ଷା ଉପକରଣ ଯାହା କଣ୍ଟେନର ଏବଂ କୋଡ଼ରେ ଥିବା ଦୁର୍ବଳତାକୁ ସ୍କାନ୍ କରିବା ପାଇଁ ଲକ୍ଷ ଲକ୍ଷ ଦ୍ୱାରା ବ୍ୟବହୃତ | ଏକ ସୁରକ୍ଷା ଉପକରଣ ଉପରେ ଆକ୍ରମଣ ନିରାପଦ ବିକାଶ ପାଇଁ ଆବଶ୍ୟକ ଭିତ୍ତିକ ବିଶ୍ୱାସକୁ କ୍ଷୟ କରିଥାଏ | ଦ୍ୱିତୀୟତ it, ଏହା ଅନ୍ୟ ସଫ୍ଟୱେର୍ ଉପରେ ନିର୍ମିତ ଉପକରଣ ଏବଂ ନିର୍ଭରଶୀଳତାକୁ ଟାର୍ଗେଟ କରି ଆକ୍ରମଣକାରୀଙ୍କ “ଅପଷ୍ଟ୍ରିମ୍” କୁ ବ growing ୁଥିବା ଧାରାକୁ ଆଲୋକିତ କରେ | ବହୁଳ ଭାବରେ ବ୍ୟବହୃତ ଉପାଦାନକୁ ବିଷ ଦେଇ, ସେମାନେ ସମ୍ଭବତ down ଡାଉନ୍ଷ୍ଟ୍ରିମ୍ ପ୍ରୋଜେକ୍ଟ ଏବଂ ସଂସ୍ଥାଗୁଡ଼ିକର ଏକ ବିସ୍ତୃତ ନେଟୱାର୍କକୁ ପ୍ରବେଶ କରିପାରିବେ | ଏହି ଘଟଣା ଯୋଗାଣ ଶୃଙ୍ଖଳା ନିରାପତ୍ତାରେ ଏକ ଗୁରୁତ୍ case ପୂର୍ଣ କେସ୍ ଷ୍ଟଡି ଭାବରେ କାର୍ଯ୍ୟ କରିଥାଏ, ଏହା ଦର୍ଶାଏ ଯେ କ tool ଣସି ଉପକରଣ, ଯେତେ ପ୍ରତିଷ୍ଠିତ ହେଲେ ମଧ୍ୟ ଆକ୍ରମଣ ଭେକ୍ଟର ଭାବରେ ବ୍ୟବହୃତ ହେବା ପ୍ରତିରୋଧକ ନୁହେଁ |

"ଏହି ଆକ୍ରମଣ ଡେଭଲପର୍ ଆଚରଣ ଏବଂ CI / CD ମେକାନିକ୍ସ ବିଷୟରେ ଏକ ଅତ୍ୟାଧୁନିକ ବୁ understanding ାମଣା ପ୍ରଦର୍ଶନ କରେ। ଏକ ନିର୍ଦ୍ଦିଷ୍ଟ ସଂସ୍କରଣ ଟ୍ୟାଗକୁ ସ୍ଥିର କରିବା ପାଇଁ ପ୍ରାୟତ a ସର୍ବୋତ୍ତମ ଅଭ୍ୟାସ ଭାବରେ ବିବେଚନା କରାଯାଏ, କିନ୍ତୁ ଏହି ଘଟଣା ଦର୍ଶାଏ ଯେ ଯଦି ସେହି ନିର୍ଦ୍ଦିଷ୍ଟ ସଂସ୍କରଣ ଆପୋଷ ସମାଧାନ ହୁଏ ତେବେ ଏହା ବିପଦ ମଧ୍ୟ ଆଣିପାରେ। ଶିକ୍ଷା ହେଉଛି ସୁରକ୍ଷା ଏକ ନିରନ୍ତର ପ୍ରକ୍ରିୟା, ଗୋଟିଏ ଥର ସେଟଅପ୍ ନୁହେଁ।"

ତୁମର GitHub କ୍ରିୟାଗୁଡ଼ିକୁ ସୁରକ୍ଷିତ କରିବା ପାଇଁ ତୁରନ୍ତ ପଦକ୍ଷେପ |

ଏହି ଘଟଣା ପରେ, ଡେଭଲପର୍ ଏବଂ ସୁରକ୍ଷା ଦଳ ନିଶ୍ଚିତ ଭାବରେ ସେମାନଙ୍କର GitHub ଆକ୍ସନ୍ ୱାର୍କଫ୍ଲୋକୁ କଠିନ କରିବାକୁ ସକ୍ରିୟ ପଦକ୍ଷେପ ଗ୍ରହଣ କରିବେ | ସନ୍ତୁଷ୍ଟତା ହେଉଛି ସୁରକ୍ଷାର ଶତ୍ରୁ | ତୁରନ୍ତ କାର୍ଯ୍ୟକାରୀ କରିବା ପାଇଁ ଏଠାରେ ଅତ୍ୟାବଶ୍ୟକ ପଦକ୍ଷେପ:

|

• ଟ୍ୟାଗ୍ ବଦଳରେ SHA ପିନିଂ ବ୍ୟବହାର କରନ୍ତୁ: ସର୍ବଦା ସେମାନଙ୍କର ପୂର୍ଣ୍ଣ ପ୍ରତିବଦ୍ଧ ହ୍ୟାଶ୍ ଦ୍ୱାରା ରେଫରେନ୍ସ କ୍ରିୟାଗୁଡ଼ିକ (ଯଥା, `କାର୍ଯ୍ୟ / ଚେକଆଉଟ୍ @ a81bbbf8298c0fa03ea29cdc473d45769f953675`) | ଗ୍ୟାରେଣ୍ଟି ଦେବା ପାଇଁ ଏହା ହେଉଛି ଏକମାତ୍ର ଉପାୟ ଯାହାକି ଆପଣ କାର୍ଯ୍ୟର ଏକ ଅକ୍ଷୟ ସଂସ୍କରଣ ବ୍ୟବହାର କରୁଛନ୍ତି |
• ତୁମର ସାମ୍ପ୍ରତିକ କାର୍ଯ୍ୟଧାରାକୁ ଅଡିଟ୍ କର: ତୁମର `.github / ୱାର୍କଫ୍ଲୋ 'ଡିରେକ୍ଟୋରୀକୁ ଯାଞ୍ଚ କର | ଟ୍ୟାଗ୍ଗୁଡ଼ିକରେ ପିନ୍ ହୋଇଥିବା କ actions ଣସି କାର୍ଯ୍ୟକୁ ଚିହ୍ନଟ କରନ୍ତୁ ଏବଂ ସେମାନଙ୍କୁ SHA କରିବାକୁ ସୁଇଚ୍ କରନ୍ତୁ, ବିଶେଷତ critical ଗୁରୁତ୍ security ପୂର୍ଣ୍ଣ ସୁରକ୍ଷା ଉପକରଣଗୁଡ଼ିକ ପାଇଁ |
• ଲିଭର୍ ଗିଥ୍ ହବ୍ ର ସୁରକ୍ଷା ବ features ଶିଷ୍ଟ୍ୟଗୁଡିକ: ଆବଶ୍ୟକ ସ୍ଥିତି ଯାଞ୍ଚଗୁଡିକ ସକ୍ଷମ କରନ୍ତୁ ଏବଂ ଆପୋଷ କାର୍ଯ୍ୟରୁ ସମ୍ଭାବ୍ୟ କ୍ଷତି ହ୍ରାସ କରିବାକୁ ଡିଫଲ୍ଟ ଭାବରେ କେବଳ ପ read ଼ିବା ପାଇଁ ସେଟିଂ ସେଟ୍ କରନ୍ତୁ |
• ଅସାଧାରଣ କାର୍ଯ୍ୟକଳାପ ପାଇଁ ମନିଟର: ଆପଣଙ୍କର CI / CD ପାଇପଲାଇନ ପାଇଁ ଅପ୍ରତ୍ୟାଶିତ ବାହ୍ୟ ନେଟୱାର୍କ ସଂଯୋଗ କିମ୍ବା ଆପଣଙ୍କର ରହସ୍ୟ ବ୍ୟବହାର କରି ଅନଧିକୃତ ପ୍ରବେଶ ପ୍ରୟାସକୁ ଚିହ୍ନଟ କରିବା ପାଇଁ ଲଗିଂ ଏବଂ ମନିଟରିଂ କାର୍ଯ୍ୟକାରୀ କରନ୍ତୁ |

ମେୱାଇଜ୍ ସହିତ ଏକ ସ୍ଥାୟୀ ଫାଉଣ୍ଡେସନ୍ ନିର୍ମାଣ |

ବ୍ୟକ୍ତିଗତ ଉପକରଣଗୁଡିକ ସୁରକ୍ଷିତ କରିବା ଅତ୍ୟନ୍ତ ଗୁରୁତ୍ୱପୂର୍ଣ୍ଣ, ପ୍ରକୃତ ସ୍ଥିରତା ଆପଣଙ୍କ ବ୍ୟବସାୟ କାର୍ଯ୍ୟ ପାଇଁ ଏକ ସାମଗ୍ରିକ ଆଭିମୁଖ୍ୟରୁ ଆସିଥାଏ | ଟ୍ରାଇଭି ଆପୋଷ ବୁ like ାମଣା ପରି ଘଟଣା ଆଧୁନିକ ଟୁଲ୍ ଚେନ୍ରେ ସନ୍ନିବେଶିତ ଲୁକ୍କାୟିତ ଜଟିଳତା ଏବଂ ବିପଦକୁ ପ୍ରକାଶ କରିଥାଏ | ମେୱାଇଜ୍ ପରି ଏକ ପ୍ଲାଟଫର୍ମ ଏକ ଏକୀକୃତ, ମଡ୍ୟୁଲାର୍ ବ୍ୟବସାୟ OS ପ୍ରଦାନ କରି ଏହାକୁ ସମ୍ବୋଧିତ କରେ ଯାହା ନିର୍ଭରଶୀଳତାକୁ ହ୍ରାସ କରିଥାଏ ଏବଂ ନିୟନ୍ତ୍ରଣକୁ କେନ୍ଦ୍ରୀଭୂତ କରିଥାଏ | ଏକ ଡଜନେ ଭିନ୍ନ ସେବା ଜଗିଂ କରିବା ପରିବର୍ତ୍ତେ - ପ୍ରତ୍ୟେକର ନିଜସ୍ୱ ସୁରକ୍ଷା ମଡେଲ୍ ଏବଂ ଅପଡେଟ୍ ଚକ୍ର ସହିତ - ମେୱାଇଜ୍ ପ୍ରୋଜେକ୍ଟ ମ୍ୟାନେଜମେଣ୍ଟ, CRM, ଏବଂ ଡକ୍ୟୁମେଣ୍ଟ୍ ହ୍ୟାଣ୍ଡଲିଂକୁ ଏକ ସୁରକ୍ଷିତ ପରିବେଶରେ ଏକତ୍ର କରିଥାଏ | ଏହି ଏକୀକରଣ ଆକ୍ରମଣ ପୃଷ୍ଠକୁ କମ୍ କରିଥାଏ ଏବଂ ସୁରକ୍ଷା ଶାସନକୁ ସରଳ କରିଥାଏ, ଦଳଗୁଡ଼ିକୁ ଏକ ଖଣ୍ଡବିଖଣ୍ଡିତ ସଫ୍ଟୱେର୍ ଷ୍ଟାକରେ ଦୁର୍ବଳତାକୁ ଲଗାଇବା ପରିବର୍ତ୍ତେ ନିର୍ମାଣ ବ features ଶିଷ୍ଟ୍ୟ ଉପରେ ଧ୍ୟାନ ଦେବାକୁ ଅନୁମତି ଦେଇଥାଏ | ଏକ ଦୁନିଆରେ ଯେଉଁଠାରେ ଏକକ ଆପୋଷ ବୁ tag ାମଣା ଏକ ପ୍ରମୁଖ ଉଲ୍ଲଂଘନକୁ ନେଇପାରେ, ମେୱାଇଜ୍ ଦ୍ offered ାରା ପ୍ରଦାନ କରାଯାଇଥିବା ସମନ୍ୱିତ ସୁରକ୍ଷା ଏବଂ ଶୃଙ୍ଖଳିତ କାର୍ଯ୍ୟ ଅଭିବୃଦ୍ଧି ପାଇଁ ଅଧିକ ନିୟନ୍ତ୍ରିତ ଏବଂ ଅଡିଟିଭ୍ ଫାଉଣ୍ଡେସନ୍ ପ୍ରଦାନ କରିଥାଏ |

💡 DID YOU KNOW?

Mewayz replaces 8+ business tools in one platform

CRM · Invoicing · HR · Projects · Booking · eCommerce · POS · Analytics. Free forever plan available.

Start Free →

ବାରମ୍ବାର ପଚରାଯାଉଥିବା ପ୍ରଶ୍ନ |

ପୁନର୍ବାର ଆକ୍ରମଣରେ ତ୍ରୁଟି: ବିସ୍ତୃତ GitHub ଆକ୍ସନ୍ ଟ୍ୟାଗ୍ ଆପୋଷ ବୁ secret ାମଣା ରହସ୍ୟ

ସଫ୍ଟୱେର୍ ଯୋଗାଣ ଶୃଙ୍ଖଳାର ସୁରକ୍ଷା କେବଳ ଏହାର ଦୁର୍ବଳ ଲିଙ୍କ ପରି ଶକ୍ତିଶାଳୀ | ଅସଂଖ୍ୟ ବିକାଶ ଦଳ ପାଇଁ, ସେହି ଲିଙ୍କ୍ ଅତି ସାଧନ ହୋଇପାରିଛି ଯାହାକି ସେମାନେ ଦୁର୍ବଳତା ଖୋଜିବା ଉପରେ ନିର୍ଭର କରନ୍ତି | ଘଟଣାଗୁଡ଼ିକର ପରିପ୍ରେକ୍ଷୀରେ, କୁମ୍ଭ ସୁରକ୍ଷା ଦ୍ୱାରା ପରିଚାଳିତ ଏକ ଲୋକପ୍ରିୟ ମୁକ୍ତ ଉତ୍ସ ଦୁର୍ବଳତା ସ୍କାନର୍ ଟ୍ରାଇଭି ଏକ ଅତ୍ୟାଧୁନିକ ଆକ୍ରମଣର କେନ୍ଦ୍ରରେ ନିଜକୁ ପାଇଲା | ଦୁଷ୍ଟ ଅଭିନେତାମାନେ ଏହାର GitHub ଆକ୍ସନ୍ସ ରେପୋଜିଟୋରୀ ମଧ୍ୟରେ ଏକ ନିର୍ଦ୍ଦିଷ୍ଟ ସଂସ୍କରଣ ଟ୍ୟାଗ୍ (`v0.48.0`) କୁ ଆପୋଷ ବୁ .ାମଣା କରିଥିଲେ, ଏହାକୁ ବ୍ୟବହାର କରୁଥିବା ଯେକ work ଣସି କାର୍ଯ୍ୟ ପ୍ରବାହରୁ ସମ୍ବେଦନଶୀଳ ରହସ୍ୟ ଚୋରୀ କରିବା ପାଇଁ ଡିଜାଇନ୍ ହୋଇଥିବା କୋଡ୍ ଇଞ୍ଜେକ୍ସନ ଦେଇଥିଲେ | ଏହି ଘଟଣା ଏକ ସ୍ମରଣୀୟ ସ୍ମାରକ ଅଟେ ଯେ ଆମର ପରସ୍ପର ସହ ଜଡିତ ବିକାଶ ଇକୋସିଷ୍ଟମରେ, ବିଶ୍ trust ାସ କ୍ରମାଗତ ଭାବରେ ଯାଞ୍ଚ ହେବା ଆବଶ୍ୟକ, ଅନୁମାନ କରାଯାଏ ନାହିଁ |

ଟ୍ୟାଗ୍ ଆପ୍ରୋମାଇଜ୍ ଆଟାକ୍ ର ଆନାଟୋମି |

ଏହା ଟ୍ରାଇଭିର ମୂଳ ପ୍ରୟୋଗ ସଂକେତର ଉଲ୍ଲଂଘନ ନୁହେଁ, କିନ୍ତୁ ଏହାର CI / CD ସ୍ୱୟଂଚାଳିତର ଚତୁର ଉପଦ୍ରବ | ଆକ୍ରମଣକାରୀମାନେ GitHub ଆକ୍ସନ୍ସ ରେପୋଜିଟୋରୀକୁ ଟାର୍ଗେଟ କରି `v0.48.0` ଟ୍ୟାଗ୍ ପାଇଁ` action.yml` ଫାଇଲର ଏକ ଖରାପ ସଂସ୍କରଣ ସୃଷ୍ଟି କରିଥିଲେ | ଯେତେବେଳେ ଏକ ଡେଭଲପର୍ଙ୍କ ୱାର୍କଫ୍ଲୋ ଏହି ନିର୍ଦ୍ଦିଷ୍ଟ ଟ୍ୟାଗ୍ କୁ ସୂଚିତ କରେ, କ୍ରିୟା ଆଇନଗତ ଟ୍ରାଇଭି ସ୍କାନ୍ ଚଳାଇବା ପୂର୍ବରୁ ଏକ କ୍ଷତିକାରକ ସ୍କ୍ରିପ୍ଟ ଏକଜେକ୍ୟୁଟ୍ କରିବ | ଆକ୍ରମଣକାରୀଙ୍କ ଦ୍ୱାରା ନିୟନ୍ତ୍ରିତ ଏକ ସୁଦୂର ସର୍ଭରରେ - ଏହି ସଂଗ୍ରହାଳୟ ରହସ୍ୟ, ଯେପରିକି ସଂଗ୍ରହାଳୟ ଟୋକେନ, କ୍ଲାଉଡ୍ ପ୍ରଦାନକାରୀ ପରିଚୟପତ୍ର, ଏବଂ API ଚାବି - ଏହି ସ୍କ୍ରିପ୍ଟକୁ ଇଞ୍ଜିନିୟରିଂ କରାଯାଇଥିଲା | ଏହି ଆକ୍ରମଣର ଗୁପ୍ତ ପ୍ରକୃତି ଏହାର ନିର୍ଦ୍ଦିଷ୍ଟତା ମଧ୍ୟରେ ଅଛି; ନିରାପଦ "@ v0.48" କିମ୍ବା "@ ମେନ୍" ଟ୍ୟାଗ୍ ବ୍ୟବହାର କରୁଥିବା ଡେଭଲପର୍ମାନେ ପ୍ରଭାବିତ ହୋଇନଥିଲେ, କିନ୍ତୁ ଯେଉଁମାନେ ସଠିକ୍ ଆପୋଷ ଟ୍ୟାଗ୍ ପିନ୍ କରିଥିଲେ ସେମାନେ ଜାଣିଶୁଣି ସେମାନଙ୍କ ପାଇପଲାଇନରେ ଏକ ଗୁରୁତ୍ vulner ପୂର୍ଣ୍ଣ ଦୁର୍ବଳତା ଉପସ୍ଥାପନ କରିଥିଲେ |

କାହିଁକି ଏହି ଘଟଣା DevOps World

ରେ ପୁନ on ପ୍ରକାଶିତ ହୁଏ |

ଅନେକ କାରଣ ପାଇଁ ଟ୍ରାଇଭି ଆପୋଷ ବୁ significant ାମଣା ଗୁରୁତ୍ୱପୂର୍ଣ୍ଣ | ପ୍ରଥମେ, ଟ୍ରାଇଭି ହେଉଛି ଏକ ଭିତ୍ତିପ୍ରସ୍ତରୀୟ ସୁରକ୍ଷା ଉପକରଣ ଯାହା କଣ୍ଟେନର ଏବଂ କୋଡ଼ରେ ଥିବା ଦୁର୍ବଳତାକୁ ସ୍କାନ୍ କରିବା ପାଇଁ ଲକ୍ଷ ଲକ୍ଷ ଦ୍ୱାରା ବ୍ୟବହୃତ | ଏକ ସୁରକ୍ଷା ଉପକରଣ ଉପରେ ଆକ୍ରମଣ ନିରାପଦ ବିକାଶ ପାଇଁ ଆବଶ୍ୟକ ଭିତ୍ତିକ ବିଶ୍ୱାସକୁ କ୍ଷୟ କରିଥାଏ | ଦ୍ୱିତୀୟତ it, ଏହା ଅନ୍ୟ ସଫ୍ଟୱେର୍ ଉପରେ ନିର୍ମିତ ଉପକରଣ ଏବଂ ନିର୍ଭରଶୀଳତାକୁ ଟାର୍ଗେଟ କରି ଆକ୍ରମଣକାରୀଙ୍କ “ଅପଷ୍ଟ୍ରିମ୍” କୁ ବ growing ୁଥିବା ଧାରାକୁ ଆଲୋକିତ କରେ | ବହୁଳ ଭାବରେ ବ୍ୟବହୃତ ଉପାଦାନକୁ ବିଷ ଦେଇ, ସେମାନେ ସମ୍ଭବତ down ଡାଉନ୍ଷ୍ଟ୍ରିମ୍ ପ୍ରୋଜେକ୍ଟ ଏବଂ ସଂସ୍ଥାଗୁଡ଼ିକର ଏକ ବିସ୍ତୃତ ନେଟୱାର୍କକୁ ପ୍ରବେଶ କରିପାରିବେ | ଏହି ଘଟଣା ଯୋଗାଣ ଶୃଙ୍ଖଳା ନିରାପତ୍ତାରେ ଏକ ଗୁରୁତ୍ case ପୂର୍ଣ କେସ୍ ଷ୍ଟଡି ଭାବରେ କାର୍ଯ୍ୟ କରିଥାଏ, ଏହା ଦର୍ଶାଏ ଯେ କ tool ଣସି ଉପକରଣ, ଯେତେ ପ୍ରତିଷ୍ଠିତ ହେଲେ ମଧ୍ୟ ଆକ୍ରମଣ ଭେକ୍ଟର ଭାବରେ ବ୍ୟବହୃତ ହେବା ପ୍ରତିରୋଧକ ନୁହେଁ |

ତୁମର GitHub କ୍ରିୟାଗୁଡ଼ିକୁ ସୁରକ୍ଷିତ କରିବା ପାଇଁ ତୁରନ୍ତ ପଦକ୍ଷେପ |

ଏହି ଘଟଣା ପରେ, ଡେଭଲପର୍ ଏବଂ ସୁରକ୍ଷା ଦଳ ନିଶ୍ଚିତ ଭାବରେ ସେମାନଙ୍କର GitHub ଆକ୍ସନ୍ ୱାର୍କଫ୍ଲୋକୁ କଠିନ କରିବାକୁ ସକ୍ରିୟ ପଦକ୍ଷେପ ଗ୍ରହଣ କରିବେ | ସନ୍ତୁଷ୍ଟତା ହେଉଛି ସୁରକ୍ଷାର ଶତ୍ରୁ | ତୁରନ୍ତ କାର୍ଯ୍ୟକାରୀ କରିବା ପାଇଁ ଏଠାରେ ଅତ୍ୟାବଶ୍ୟକ ପଦକ୍ଷେପ:

|

ମେୱାଇଜ୍ ସହିତ ଏକ ସ୍ଥାୟୀ ଫାଉଣ୍ଡେସନ୍ ନିର୍ମାଣ |

ବ୍ୟକ୍ତିଗତ ଉପକରଣଗୁଡିକ ସୁରକ୍ଷିତ କରିବା ଅତ୍ୟନ୍ତ ଗୁରୁତ୍ୱପୂର୍ଣ୍ଣ, ପ୍ରକୃତ ସ୍ଥିରତା ଆପଣଙ୍କ ବ୍ୟବସାୟ କାର୍ଯ୍ୟ ପାଇଁ ଏକ ସାମଗ୍ରିକ ଆଭିମୁଖ୍ୟରୁ ଆସିଥାଏ | ଟ୍ରାଇଭି ଆପୋଷ ବୁ like ାମଣା ପରି ଘଟଣା ଆଧୁନିକ ଟୁଲ୍ ଚେନ୍ରେ ସନ୍ନିବେଶିତ ଲୁକ୍କାୟିତ ଜଟିଳତା ଏବଂ ବିପଦକୁ ପ୍ରକାଶ କରିଥାଏ | ମେୱାଇଜ୍ ପରି ଏକ ପ୍ଲାଟଫର୍ମ ଏକ ଏକୀକୃତ, ମଡ୍ୟୁଲାର୍ ବ୍ୟବସାୟ OS ପ୍ରଦାନ କରି ଏହାକୁ ସମ୍ବୋଧିତ କରେ ଯାହା ନିର୍ଭରଶୀଳତାକୁ ହ୍ରାସ କରିଥାଏ ଏବଂ ନିୟନ୍ତ୍ରଣକୁ କେନ୍ଦ୍ରୀଭୂତ କରିଥାଏ | ଏକ ଡଜନେ ଭିନ୍ନ ସେବା ଜଗିଂ କରିବା ପରିବର୍ତ୍ତେ - ପ୍ରତ୍ୟେକର ନିଜସ୍ୱ ସୁରକ୍ଷା ମଡେଲ୍ ଏବଂ ଅପଡେଟ୍ ଚକ୍ର ସହିତ - ମେୱାଇଜ୍ ପ୍ରୋଜେକ୍ଟ ମ୍ୟାନେଜମେଣ୍ଟ, CRM, ଏବଂ ଡକ୍ୟୁମେଣ୍ଟ୍ ହ୍ୟାଣ୍ଡଲିଂକୁ ଏକ ସୁରକ୍ଷିତ ପରିବେଶରେ ଏକତ୍ର କରିଥାଏ | ଏହି ଏକୀକରଣ ଆକ୍ରମଣ ପୃଷ୍ଠକୁ କମ୍ କରିଥାଏ ଏବଂ ସୁରକ୍ଷା ଶାସନକୁ ସରଳ କରିଥାଏ, ଦଳଗୁଡ଼ିକୁ ଏକ ଖଣ୍ଡବିଖଣ୍ଡିତ ସଫ୍ଟୱେର୍ ଷ୍ଟାକରେ ଦୁର୍ବଳତାକୁ ଲଗାଇବା ପରିବର୍ତ୍ତେ ନିର୍ମାଣ ବ features ଶିଷ୍ଟ୍ୟ ଉପରେ ଧ୍ୟାନ ଦେବାକୁ ଅନୁମତି ଦେଇଥାଏ | ଏକ ଦୁନିଆରେ ଯେଉଁଠାରେ ଏକକ ଆପୋଷ ବୁ tag ାମଣା ଏକ ପ୍ରମୁଖ ଉଲ୍ଲଂଘନକୁ ନେଇପାରେ, ମେୱାଇଜ୍ ଦ୍ offered ାରା ପ୍ରଦାନ କରାଯାଇଥିବା ସମନ୍ୱିତ ସୁରକ୍ଷା ଏବଂ ଶୃଙ୍ଖଳିତ କାର୍ଯ୍ୟ ଅଭିବୃଦ୍ଧି ପାଇଁ ଅଧିକ ନିୟନ୍ତ୍ରିତ ଏବଂ ଅଡିଟିଭ୍ ଫାଉଣ୍ଡେସନ୍ ପ୍ରଦାନ କରିଥାଏ |

ଆଜି ଆପଣଙ୍କର ବ୍ୟବସାୟ OS ନିର୍ମାଣ କରନ୍ତୁ

ଫ୍ରିଲାନ୍ସର୍ ଠାରୁ ଆରମ୍ଭ କରି ଏଜେନ୍ସି ପର୍ଯ୍ୟନ୍ତ, ମେୱାଇଜ୍ 208 ଇଣ୍ଟିଗ୍ରେଟେଡ୍ ମଡ୍ୟୁଲ୍ ସହିତ 138,000+ ବ୍ୟବସାୟକୁ ଶକ୍ତି ପ୍ରଦାନ କରେ | ମାଗଣା ଆରମ୍ଭ କର, ଯେତେବେଳେ ତୁମେ ବ grow ଼ିବ ଅପଗ୍ରେଡ୍ କର |

ମାଗଣା ଖାତା ସୃଷ୍ଟି କରନ୍ତୁ →

<ସ୍କ୍ରିପ୍ଟ ପ୍ରକାର = "ଆପ୍ଲିକେସନ୍ ରହସ୍ୟ "," url ":" https://mewayz.cloud/blog/trivy-under-attack-again-widesread-github-actions-tag-compromise-secrets "," datePublished ":" 2026-03-24T10: 54: 22 + 00: 00 "," dateModified ":" 2026-03-2 " 4T10: 54: 22 + 00: 00 "," ଲେଖକ ": {" @ ପ୍ରକାର ":" ସଂଗଠନ "," ନାମ ":" ମେୱାଇଜ୍ "," url ":" https://mewayz.cloud "}," ପ୍ରକାଶକ ": {" @ ପ୍ରକାର ":" ସଂଗଠନ "," ନାମ ":" ମେୱାଇଜ୍ "," url ":" https://} <ସ୍କ୍ରିପ୍ଟ ପ୍ରକାର = "ପ୍ରୟୋଗ / ld + json"> {"@context": "https://schema.org", "@ ପ୍ରକାର": "FAQPage", "mainEntity": ସଫ୍ଟୱେର୍ ଯୋଗାଣ ଶୃଙ୍ଖଳାର ସୁରକ୍ଷା କେବଳ ଏହାର ଦୁର୍ବଳ ଲିଙ୍କ ପରି ଶକ୍ତିଶାଳୀ | ଅସଂଖ୍ୟ ବିକାଶ ଦଳ ପାଇଁ, ସେହି ଲିଙ୍କ୍ ଅତି ଦୁର୍ବଳତା ଖୋଜିବା ପାଇଁ ନିର୍ଭର କରୁଥିବା ସାଧନ ପାଲଟିଛି | ଆକ୍ୱା ସିକ୍ୟୁରିଟି ଦ୍ୱାରା ପରିଚାଳିତ ଏକ ଲୋକପ୍ରିୟ ଓପନ୍ ସୋର୍ସ ଦୁର୍ବଳତା ସ୍କାନର୍, ଏକ ନିର୍ଦ୍ଦିଷ୍ଟ ସଂସ୍କରଣର ଟ୍ୟାଗ୍ (G0.48.0) ରେ ଆପତ୍ତିଜନକ କାର୍ଯ୍ୟ କରିଛି | ଏହା ବ୍ୟବହାର କରିଥିଲା। ଏହି ଘଟଣାଟି ଏକ ସ୍ମରଣୀୟ ସ୍ମାରକ ଅଟେ ଯେ ଆମର ପରସ୍ପର ସହ ଜଡିତ ବିକାଶ ଇକୋସିଷ୍ଟମରେ ବିଶ୍ trust ାସ କ୍ରମାଗତ ଭାବରେ ଯାଞ୍ଚ ହେବା ଆବଶ୍ୟକ, ଅନୁମାନ କରାଯାଏ ନାହିଁ। ଆକ୍ରମଣକାରୀମାନେ “v0.48.0” ଟ୍ୟାଗ୍ ପାଇଁ “action.yml” ଫାଇଲ୍ ର ଏକ ଦୁର୍ଦ୍ଦାନ୍ତ ସଂସ୍କରଣ ସୃଷ୍ଟି କରି GitHub ଆକ୍ସନ୍ସ ରେପୋଜିଟୋରୀକୁ ଟାର୍ଗେଟ କରିଥିଲେ, ଯେତେବେଳେ ଏକ ଡେଭଲପର୍ଙ୍କ ୱାର୍କଫ୍ଲୋ ଏହି ନିର୍ଦ୍ଦିଷ୍ଟ ଟ୍ୟାଗ୍ କୁ ସୂଚୀତ କରେ, ଏହି ସ୍କ୍ରିପ୍ଟଟି ସୁଦୂର ପ୍ରକୃତିର ସର୍ଚ୍ଚ କିଗୁଡ଼ିକୁ ନିୟନ୍ତ୍ରଣ କରିବା ପାଇଁ ଇଞ୍ଜିନିୟରିଂ କରାଯାଇଥିଲା | ଏହି ଆକ୍ରମଣ ଏହାର ନିର୍ଦ୍ଦିଷ୍ଟତା ମଧ୍ୟରେ ଅଛି, ନିରାପଦ "@ v0.48" କିମ୍ବା "@ ମେନ୍" ଟ୍ୟାଗ୍ ବ୍ୟବହାର କରୁଥିବା ଡେଭଲପର୍ମାନେ ପ୍ରଭାବିତ ହୋଇନଥିଲେ, କିନ୍ତୁ ଯେଉଁମାନେ ସଠିକ୍ ଆପୋଷ ବୁ tag ାମଣାକୁ ଜାଣିଶୁଣି ସେମାନଙ୍କ ପାଇପଲାଇନରେ ଏକ ଗୁରୁତ୍ vulner ପୂର୍ଣ୍ଣ ଦୁର୍ବଳତା ପ୍ରବର୍ତ୍ତାଇଥିଲେ। ଅନେକ କାରଣ ପାଇଁ, ଟ୍ରାଇଭି ହେଉଛି ଏକ ଭିତ୍ତିପ୍ରସ୍ତରୀୟ ସୁରକ୍ଷା ସାଧନ ଯାହା କଣ୍ଟେନର ଏବଂ କୋଡ଼ରେ ଥିବା ଦୁର୍ବଳତା ପାଇଁ ସ୍କାନ୍ କରିବା ପାଇଁ ବ୍ୟବହୃତ ହୁଏ | ଦର୍ଶାଉଛି ଯେ କ tool ଣସି ଉପକରଣ, ଯେତେ ଖ୍ୟାତିସମ୍ପନ୍ନ, ଆକ୍ରମଣ ଭେକ୍ଟର ଭାବରେ ବ୍ୟବହୃତ ହେବା ପାଇଁ ପ୍ରତିରୋଧକ ନୁହେଁ ତୁରନ୍ତ କାର୍ଯ୍ୟକାରୀ କରିବା ପାଇଁ ଏଠାରେ ଆବଶ୍ୟକୀୟ ପଦକ୍ଷେପଗୁଡିକ ଅଛି: "}}, {" @ ପ୍ରକାର ":" ପ୍ରଶ୍ନ "," ନାମ ":" ମେୱାଇଜ୍ ସହିତ ଏକ ସ୍ଥିର ଫାଉଣ୍ଡେସନ୍ ଗଠନ "," ଗ୍ରହଣ କରାଯାଇଥିବା ଉତ୍ତର ": {" @ ପ୍ରକାର ":" ଉତ୍ତର "," ପାଠ୍ୟ ":" ବ୍ୟକ୍ତିଗତ ସାଧନଗୁଡିକ ସୁରକ୍ଷିତ ରଖିବା ସହିତ ଟ୍ରାଇଭିରେ ଏକ ଜଟିଳ ଆପୋଷ ବୁ .ାମଣା ଅଟେ | ଏକୀକୃତ, ମଡ୍ୟୁଲାର୍ ବ୍ୟବସାୟ OS ପ୍ରଦାନ କରି ଏହାକୁ ସମାଧାନ କରେ ଯାହା ନିର୍ଭରଶୀଳତାକୁ ହ୍ରାସ କରିଥାଏ ଏବଂ ନିୟନ୍ତ୍ରଣକୁ କେନ୍ଦ୍ରୀଭୂତ କରିଥାଏ | ପ୍ରତ୍ୟେକଟି ନିଜସ୍ୱ ସୁରକ୍ଷା ମଡେଲ୍ ଏବଂ ଅପଡେଟ୍ ଚକ୍ର ସହିତ ଜଗିଂ କରିବା ପରିବର୍ତ୍ତେ - ମେୱାଇଜ୍ ପ୍ରୋଜେକ୍ଟ ମ୍ୟାନେଜମେଣ୍ଟ, CRM ଏବଂ ଡକ୍ୟୁମେଣ୍ଟ୍ ହ୍ୟାଣ୍ଡଲିଂକୁ ଏକକ, ସୁରକ୍ଷିତ ପରିବେଶରେ ଏକତ୍ର କରିଥାଏ, ଯେଉଁଠାରେ ଦଳଗୁଡିକ ଏକ ଦୁର୍ବଳତାକୁ ବଞ୍ଚାଇଥାଏ | ଟ୍ୟାଗ୍ ଏକ ପ୍ରମୁଖ ଉଲ୍ଲଂଘନକୁ ନେଇପାରେ, ମେୱେଜ୍ ଦ୍ offered ାରା ପ୍ରଦାନ କରାଯାଇଥିବା ସମନ୍ୱିତ ସୁରକ୍ଷା ଏବଂ ଶୃଙ୍ଖଳିତ କାର୍ଯ୍ୟଗୁଡିକ ଅଭିବୃଦ୍ଧି ପାଇଁ ଅଧିକ ନିୟନ୍ତ୍ରିତ ଏବଂ ଅଡିଟିଭ୍ ଫାଉଣ୍ଡେସନ୍ ପ୍ରଦାନ କରିଥାଏ | "}}]}