ਟ੍ਰੀਵੀ ਦੁਬਾਰਾ ਹਮਲੇ ਦੇ ਅਧੀਨ: ਵਿਆਪਕ GitHub ਐਕਸ਼ਨ ਟੈਗ ਸਮਝੌਤਾ ਰਾਜ਼
ਟਿੱਪਣੀਆਂ
Mewayz Team
Editorial Team
ਮੁੜ ਹਮਲੇ ਦੇ ਅਧੀਨ: ਵਿਆਪਕ GitHub ਐਕਸ਼ਨ ਟੈਗ ਸਮਝੌਤਾ ਭੇਦ
ਸਾਫਟਵੇਅਰ ਸਪਲਾਈ ਚੇਨ ਦੀ ਸੁਰੱਖਿਆ ਇਸਦੀ ਸਭ ਤੋਂ ਕਮਜ਼ੋਰ ਲਿੰਕ ਜਿੰਨੀ ਹੀ ਮਜ਼ਬੂਤ ਹੈ। ਅਣਗਿਣਤ ਵਿਕਾਸ ਟੀਮਾਂ ਲਈ, ਉਹ ਲਿੰਕ ਉਹ ਸਾਧਨ ਬਣ ਗਏ ਹਨ ਜਿਨ੍ਹਾਂ 'ਤੇ ਉਹ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਲੱਭਣ ਲਈ ਭਰੋਸਾ ਕਰਦੇ ਹਨ। ਘਟਨਾਵਾਂ ਦੇ ਇੱਕ ਮੋੜ ਵਿੱਚ, ਟ੍ਰੀਵੀ, ਇੱਕ ਪ੍ਰਸਿੱਧ ਓਪਨ-ਸਰੋਤ ਕਮਜ਼ੋਰੀ ਸਕੈਨਰ ਜੋ Aqua ਸੁਰੱਖਿਆ ਦੁਆਰਾ ਬਣਾਈ ਗਈ ਹੈ, ਨੇ ਆਪਣੇ ਆਪ ਨੂੰ ਇੱਕ ਵਧੀਆ ਹਮਲੇ ਦੇ ਕੇਂਦਰ ਵਿੱਚ ਪਾਇਆ। ਖ਼ਰਾਬ ਅਦਾਕਾਰਾਂ ਨੇ ਇਸਦੇ GitHub ਐਕਸ਼ਨ ਰਿਪੋਜ਼ਟਰੀ ਦੇ ਅੰਦਰ ਇੱਕ ਖਾਸ ਸੰਸਕਰਣ ਟੈਗ (`v0.48.0`) ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ, ਇਸਦੀ ਵਰਤੋਂ ਕਰਨ ਵਾਲੇ ਕਿਸੇ ਵੀ ਵਰਕਫਲੋ ਤੋਂ ਸੰਵੇਦਨਸ਼ੀਲ ਭੇਦ ਚੋਰੀ ਕਰਨ ਲਈ ਬਣਾਏ ਗਏ ਕੋਡ ਨੂੰ ਇੰਜੈਕਟ ਕਰਦੇ ਹੋਏ। ਇਹ ਘਟਨਾ ਇੱਕ ਪੂਰੀ ਤਰ੍ਹਾਂ ਯਾਦ ਦਿਵਾਉਂਦੀ ਹੈ ਕਿ ਸਾਡੇ ਆਪਸ ਵਿੱਚ ਜੁੜੇ ਵਿਕਾਸ ਈਕੋਸਿਸਟਮ ਵਿੱਚ, ਵਿਸ਼ਵਾਸ ਨੂੰ ਲਗਾਤਾਰ ਪ੍ਰਮਾਣਿਤ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ, ਨਾ ਕਿ ਮੰਨਿਆ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ।
ਟੈਗ ਸਮਝੌਤਾ ਹਮਲੇ ਦਾ ਸਰੀਰ ਵਿਗਿਆਨ
ਇਹ ਟ੍ਰੀਵੀ ਦੇ ਕੋਰ ਐਪਲੀਕੇਸ਼ਨ ਕੋਡ ਦੀ ਉਲੰਘਣਾ ਨਹੀਂ ਸੀ, ਪਰ ਇਸਦੇ CI/CD ਆਟੋਮੇਸ਼ਨ ਦਾ ਇੱਕ ਚਲਾਕ ਵਿਗਾੜ ਸੀ। ਹਮਲਾਵਰਾਂ ਨੇ GitHub ਐਕਸ਼ਨ ਰਿਪੋਜ਼ਟਰੀ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ, 'v0.48.0' ਟੈਗ ਲਈ `action.yml` ਫਾਈਲ ਦਾ ਇੱਕ ਖਤਰਨਾਕ ਸੰਸਕਰਣ ਬਣਾਇਆ। ਜਦੋਂ ਇੱਕ ਡਿਵੈਲਪਰ ਦੇ ਵਰਕਫਲੋ ਨੇ ਇਸ ਖਾਸ ਟੈਗ ਦਾ ਹਵਾਲਾ ਦਿੱਤਾ, ਤਾਂ ਕਾਰਵਾਈ ਜਾਇਜ਼ ਟ੍ਰੀਵੀ ਸਕੈਨ ਨੂੰ ਚਲਾਉਣ ਤੋਂ ਪਹਿਲਾਂ ਇੱਕ ਨੁਕਸਾਨਦੇਹ ਸਕ੍ਰਿਪਟ ਨੂੰ ਲਾਗੂ ਕਰੇਗੀ। ਇਸ ਸਕ੍ਰਿਪਟ ਨੂੰ ਹਮਲਾਵਰ ਦੁਆਰਾ ਨਿਯੰਤਰਿਤ ਰਿਮੋਟ ਸਰਵਰ ਲਈ - ਜਿਵੇਂ ਕਿ ਰਿਪੋਜ਼ਟਰੀ ਟੋਕਨ, ਕਲਾਉਡ ਪ੍ਰਦਾਤਾ ਪ੍ਰਮਾਣ ਪੱਤਰ, ਅਤੇ API ਕੁੰਜੀਆਂ ਨੂੰ ਬਾਹਰ ਕੱਢਣ ਲਈ ਇੰਜਨੀਅਰ ਕੀਤਾ ਗਿਆ ਸੀ। ਇਸ ਹਮਲੇ ਦੀ ਗੁੰਝਲਦਾਰ ਪ੍ਰਕਿਰਤੀ ਇਸਦੀ ਵਿਸ਼ੇਸ਼ਤਾ ਵਿੱਚ ਹੈ; ਸੁਰੱਖਿਅਤ `@v0.48` ਜਾਂ `@main` ਟੈਗਸ ਦੀ ਵਰਤੋਂ ਕਰਨ ਵਾਲੇ ਡਿਵੈਲਪਰ ਪ੍ਰਭਾਵਿਤ ਨਹੀਂ ਹੋਏ, ਪਰ ਜਿਨ੍ਹਾਂ ਨੇ ਸਹੀ ਸਮਝੌਤਾ ਕੀਤੇ ਟੈਗ ਨੂੰ ਪਿੰਨ ਕੀਤਾ, ਉਹਨਾਂ ਨੇ ਅਣਜਾਣੇ ਵਿੱਚ ਉਹਨਾਂ ਦੀ ਪਾਈਪਲਾਈਨ ਵਿੱਚ ਇੱਕ ਗੰਭੀਰ ਕਮਜ਼ੋਰੀ ਪੇਸ਼ ਕੀਤੀ।
ਇਹ ਘਟਨਾ DevOps ਵਿਸ਼ਵ ਭਰ ਵਿੱਚ ਕਿਉਂ ਗੂੰਜਦੀ ਹੈ
ਟ੍ਰੀਵੀ ਸਮਝੌਤਾ ਕਈ ਕਾਰਨਾਂ ਕਰਕੇ ਮਹੱਤਵਪੂਰਨ ਹੈ। ਪਹਿਲਾਂ, ਟ੍ਰੀਵੀ ਇੱਕ ਬੁਨਿਆਦੀ ਸੁਰੱਖਿਆ ਸਾਧਨ ਹੈ ਜੋ ਲੱਖਾਂ ਲੋਕਾਂ ਦੁਆਰਾ ਕੰਟੇਨਰਾਂ ਅਤੇ ਕੋਡ ਵਿੱਚ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਸਕੈਨ ਕਰਨ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ। ਸੁਰੱਖਿਆ ਸਾਧਨ 'ਤੇ ਹਮਲਾ ਸੁਰੱਖਿਅਤ ਵਿਕਾਸ ਲਈ ਲੋੜੀਂਦੇ ਬੁਨਿਆਦ ਭਰੋਸੇ ਨੂੰ ਖਤਮ ਕਰ ਦਿੰਦਾ ਹੈ। ਦੂਜਾ, ਇਹ "ਉੱਪਰ ਵੱਲ" ਜਾਣ ਵਾਲੇ ਹਮਲਾਵਰਾਂ ਦੇ ਵਧ ਰਹੇ ਰੁਝਾਨ ਨੂੰ ਉਜਾਗਰ ਕਰਦਾ ਹੈ, ਉਹਨਾਂ ਸਾਧਨਾਂ ਅਤੇ ਨਿਰਭਰਤਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ ਜਿਨ੍ਹਾਂ 'ਤੇ ਹੋਰ ਸਾਫਟਵੇਅਰ ਬਣਾਏ ਗਏ ਹਨ। ਇੱਕ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਵਰਤੇ ਜਾਣ ਵਾਲੇ ਹਿੱਸੇ ਨੂੰ ਜ਼ਹਿਰ ਦੇ ਕੇ, ਉਹ ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਡਾਊਨਸਟ੍ਰੀਮ ਪ੍ਰੋਜੈਕਟਾਂ ਅਤੇ ਸੰਸਥਾਵਾਂ ਦੇ ਇੱਕ ਵਿਸ਼ਾਲ ਨੈਟਵਰਕ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰ ਸਕਦੇ ਹਨ। ਇਹ ਘਟਨਾ ਸਪਲਾਈ ਚੇਨ ਸੁਰੱਖਿਆ ਵਿੱਚ ਇੱਕ ਨਾਜ਼ੁਕ ਕੇਸ ਅਧਿਐਨ ਵਜੋਂ ਕੰਮ ਕਰਦੀ ਹੈ, ਇਹ ਦਰਸਾਉਂਦੀ ਹੈ ਕਿ ਕੋਈ ਵੀ ਔਜ਼ਾਰ, ਭਾਵੇਂ ਕਿੰਨਾ ਵੀ ਪ੍ਰਤਿਸ਼ਠਾਵਾਨ ਹੋਵੇ, ਹਮਲਾ ਕਰਨ ਵਾਲੇ ਵੈਕਟਰ ਵਜੋਂ ਵਰਤੇ ਜਾਣ ਲਈ ਪ੍ਰਤੀਰੋਧਕ ਨਹੀਂ ਹੈ।
"ਇਹ ਹਮਲਾ ਡਿਵੈਲਪਰ ਵਿਹਾਰ ਅਤੇ CI/CD ਮਕੈਨਿਕਸ ਦੀ ਇੱਕ ਵਧੀਆ ਸਮਝ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ। ਇੱਕ ਖਾਸ ਸੰਸਕਰਣ ਟੈਗ ਨੂੰ ਪਿੰਨ ਕਰਨਾ ਅਕਸਰ ਸਥਿਰਤਾ ਲਈ ਇੱਕ ਵਧੀਆ ਅਭਿਆਸ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ, ਪਰ ਇਹ ਘਟਨਾ ਦਰਸਾਉਂਦੀ ਹੈ ਕਿ ਇਹ ਜੋਖਮ ਵੀ ਪੇਸ਼ ਕਰ ਸਕਦੀ ਹੈ ਜੇਕਰ ਉਸ ਖਾਸ ਸੰਸਕਰਣ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਸਬਕ ਇਹ ਹੈ ਕਿ ਸੁਰੱਖਿਆ ਇੱਕ ਨਿਰੰਤਰ ਪ੍ਰਕਿਰਿਆ ਹੈ, ਇੱਕ ਵਾਰ ਸੈੱਟਅੱਪ ਨਹੀਂ।"
ਤੁਹਾਡੀਆਂ GitHub ਕਾਰਵਾਈਆਂ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨ ਲਈ ਤੁਰੰਤ ਕਦਮ
ਇਸ ਘਟਨਾ ਦੇ ਮੱਦੇਨਜ਼ਰ, ਡਿਵੈਲਪਰਾਂ ਅਤੇ ਸੁਰੱਖਿਆ ਟੀਮਾਂ ਨੂੰ ਆਪਣੇ GitHub ਐਕਸ਼ਨ ਵਰਕਫਲੋ ਨੂੰ ਸਖ਼ਤ ਕਰਨ ਲਈ ਕਿਰਿਆਸ਼ੀਲ ਉਪਾਅ ਕਰਨੇ ਚਾਹੀਦੇ ਹਨ। ਸੰਤੁਸ਼ਟੀ ਸੁਰੱਖਿਆ ਦੀ ਦੁਸ਼ਮਣ ਹੈ। ਇੱਥੇ ਤੁਰੰਤ ਲਾਗੂ ਕਰਨ ਲਈ ਜ਼ਰੂਰੀ ਕਦਮ ਹਨ:
- ਟੈਗਸ ਦੀ ਬਜਾਏ ਕਮਿਟ SHA ਪਿਨਿੰਗ ਦੀ ਵਰਤੋਂ ਕਰੋ: ਹਮੇਸ਼ਾ ਉਹਨਾਂ ਦੀ ਪੂਰੀ ਕਮਿਟ ਹੈਸ਼ ਦੁਆਰਾ ਕਾਰਵਾਈਆਂ ਦਾ ਹਵਾਲਾ ਦਿਓ (ਉਦਾਹਰਨ ਲਈ, `actions/checkout@a81bbbf8298c0fa03ea29cdc473d45769f953675`)। ਇਹ ਗਾਰੰਟੀ ਦੇਣ ਦਾ ਇੱਕੋ ਇੱਕ ਤਰੀਕਾ ਹੈ ਕਿ ਤੁਸੀਂ ਕਾਰਵਾਈ ਦਾ ਇੱਕ ਅਟੱਲ ਸੰਸਕਰਣ ਵਰਤ ਰਹੇ ਹੋ।
- ਆਪਣੇ ਮੌਜੂਦਾ ਵਰਕਫਲੋ ਦਾ ਆਡਿਟ ਕਰੋ: ਆਪਣੀ `.github/workflows` ਡਾਇਰੈਕਟਰੀ ਦੀ ਜਾਂਚ ਕਰੋ। ਟੈਗਾਂ 'ਤੇ ਪਿੰਨ ਕੀਤੀਆਂ ਕਿਸੇ ਵੀ ਕਾਰਵਾਈਆਂ ਦੀ ਪਛਾਣ ਕਰੋ ਅਤੇ ਉਹਨਾਂ ਨੂੰ SHAs ਲਈ ਬਦਲੋ, ਖਾਸ ਤੌਰ 'ਤੇ ਨਾਜ਼ੁਕ ਸੁਰੱਖਿਆ ਸਾਧਨਾਂ ਲਈ।
- GitHub ਦੀਆਂ ਸੁਰੱਖਿਆ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦਾ ਲਾਭ ਉਠਾਓ: ਲੋੜੀਂਦੀ ਸਥਿਤੀ ਜਾਂਚਾਂ ਨੂੰ ਸਮਰੱਥ ਬਣਾਓ ਅਤੇ `ਵਰਕਫਲੋ_ਪਰਮਿਸ਼ਨ` ਸੈਟਿੰਗ ਦੀ ਸਮੀਖਿਆ ਕਰੋ, ਉਹਨਾਂ ਨੂੰ ਡਿਫੌਲਟ ਤੌਰ 'ਤੇ ਸਿਰਫ਼ ਰੀਡ-ਓਨਲੀ 'ਤੇ ਸੈੱਟ ਕਰੋ ਤਾਂ ਜੋ ਸਮਝੌਤਾ ਕੀਤੀ ਕਾਰਵਾਈ ਤੋਂ ਸੰਭਾਵੀ ਨੁਕਸਾਨ ਨੂੰ ਘੱਟ ਕੀਤਾ ਜਾ ਸਕੇ।
- ਅਸਾਧਾਰਨ ਗਤੀਵਿਧੀ ਲਈ ਮਾਨੀਟਰ: ਤੁਹਾਡੇ ਭੇਦ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਅਚਾਨਕ ਆਊਟਬਾਉਂਡ ਨੈਟਵਰਕ ਕਨੈਕਸ਼ਨਾਂ ਜਾਂ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਕੋਸ਼ਿਸ਼ਾਂ ਦਾ ਪਤਾ ਲਗਾਉਣ ਲਈ ਤੁਹਾਡੀਆਂ CI/CD ਪਾਈਪਲਾਈਨਾਂ ਲਈ ਲੌਗਿੰਗ ਅਤੇ ਨਿਗਰਾਨੀ ਨੂੰ ਲਾਗੂ ਕਰੋ।
ਮੇਵੇਜ਼ ਨਾਲ ਇੱਕ ਲਚਕੀਲਾ ਫਾਊਂਡੇਸ਼ਨ ਬਣਾਉਣਾ
ਜਦੋਂ ਕਿ ਵਿਅਕਤੀਗਤ ਔਜ਼ਾਰਾਂ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨਾ ਮਹੱਤਵਪੂਰਨ ਹੁੰਦਾ ਹੈ, ਅਸਲ ਲਚਕੀਲਾਪਣ ਤੁਹਾਡੇ ਕਾਰੋਬਾਰੀ ਕਾਰਜਾਂ ਲਈ ਇੱਕ ਸੰਪੂਰਨ ਪਹੁੰਚ ਤੋਂ ਆਉਂਦਾ ਹੈ। ਟ੍ਰੀਵੀ ਸਮਝੌਤਾ ਵਰਗੀਆਂ ਘਟਨਾਵਾਂ ਆਧੁਨਿਕ ਟੂਲਚੇਨਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਛੁਪੀਆਂ ਗੁੰਝਲਾਂ ਅਤੇ ਜੋਖਮਾਂ ਨੂੰ ਪ੍ਰਗਟ ਕਰਦੀਆਂ ਹਨ। ਮੇਵੇਜ਼ ਵਰਗਾ ਪਲੇਟਫਾਰਮ ਇੱਕ ਏਕੀਕ੍ਰਿਤ, ਮਾਡਯੂਲਰ ਵਪਾਰਕ OS ਪ੍ਰਦਾਨ ਕਰਕੇ ਇਸ ਨੂੰ ਸੰਬੋਧਿਤ ਕਰਦਾ ਹੈ ਜੋ ਨਿਰਭਰਤਾ ਫੈਲਾਅ ਨੂੰ ਘਟਾਉਂਦਾ ਹੈ ਅਤੇ ਨਿਯੰਤਰਣ ਨੂੰ ਕੇਂਦਰਿਤ ਕਰਦਾ ਹੈ। ਇੱਕ ਦਰਜਨ ਵੱਖ-ਵੱਖ ਸੇਵਾਵਾਂ ਨੂੰ ਜੋੜਨ ਦੀ ਬਜਾਏ-ਹਰ ਇੱਕ ਆਪਣੇ ਸੁਰੱਖਿਆ ਮਾਡਲ ਅਤੇ ਅੱਪਡੇਟ ਚੱਕਰ ਦੇ ਨਾਲ-ਮੇਵੇਜ਼ ਇੱਕ ਸਿੰਗਲ, ਸੁਰੱਖਿਅਤ ਵਾਤਾਵਰਣ ਵਿੱਚ ਪ੍ਰੋਜੈਕਟ ਪ੍ਰਬੰਧਨ, CRM, ਅਤੇ ਦਸਤਾਵੇਜ਼ ਪ੍ਰਬੰਧਨ ਵਰਗੇ ਮੁੱਖ ਕਾਰਜਾਂ ਨੂੰ ਏਕੀਕ੍ਰਿਤ ਕਰਦਾ ਹੈ। ਇਹ ਇਕਸੁਰਤਾ ਹਮਲੇ ਦੀ ਸਤਹ ਨੂੰ ਘੱਟ ਤੋਂ ਘੱਟ ਕਰਦੀ ਹੈ ਅਤੇ ਸੁਰੱਖਿਆ ਸ਼ਾਸਨ ਨੂੰ ਸਰਲ ਬਣਾਉਂਦੀ ਹੈ, ਜਿਸ ਨਾਲ ਟੀਮਾਂ ਨੂੰ ਇੱਕ ਖੰਡਿਤ ਸੌਫਟਵੇਅਰ ਸਟੈਕ ਵਿੱਚ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਲਗਾਤਾਰ ਪੈਚ ਕਰਨ ਦੀ ਬਜਾਏ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਨੂੰ ਬਣਾਉਣ 'ਤੇ ਧਿਆਨ ਦੇਣ ਦੀ ਇਜਾਜ਼ਤ ਮਿਲਦੀ ਹੈ। ਅਜਿਹੀ ਦੁਨੀਆ ਵਿੱਚ ਜਿੱਥੇ ਇੱਕ ਇੱਕਲੇ ਸਮਝੌਤਾ ਟੈਗ ਇੱਕ ਵੱਡੀ ਉਲੰਘਣਾ ਦਾ ਕਾਰਨ ਬਣ ਸਕਦਾ ਹੈ, ਮੇਵੇਜ਼ ਦੁਆਰਾ ਪੇਸ਼ ਕੀਤੀ ਗਈ ਏਕੀਕ੍ਰਿਤ ਸੁਰੱਖਿਆ ਅਤੇ ਸੁਚਾਰੂ ਕਾਰਜ ਵਿਕਾਸ ਲਈ ਇੱਕ ਵਧੇਰੇ ਨਿਯੰਤਰਿਤ ਅਤੇ ਆਡਿਟ ਕਰਨ ਯੋਗ ਬੁਨਿਆਦ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ।
💡 DID YOU KNOW?
Mewayz replaces 8+ business tools in one platform
CRM · Invoicing · HR · Projects · Booking · eCommerce · POS · Analytics. Free forever plan available.
Start Free →ਅਕਸਰ ਪੁੱਛੇ ਜਾਣ ਵਾਲੇ ਸਵਾਲ
ਮੁੜ ਹਮਲੇ ਦੇ ਅਧੀਨ: ਵਿਆਪਕ GitHub ਐਕਸ਼ਨ ਟੈਗ ਸਮਝੌਤਾ ਭੇਦ
ਸਾਫਟਵੇਅਰ ਸਪਲਾਈ ਚੇਨ ਦੀ ਸੁਰੱਖਿਆ ਇਸਦੀ ਸਭ ਤੋਂ ਕਮਜ਼ੋਰ ਲਿੰਕ ਜਿੰਨੀ ਹੀ ਮਜ਼ਬੂਤ ਹੈ। ਅਣਗਿਣਤ ਵਿਕਾਸ ਟੀਮਾਂ ਲਈ, ਉਹ ਲਿੰਕ ਉਹ ਸਾਧਨ ਬਣ ਗਏ ਹਨ ਜਿਨ੍ਹਾਂ 'ਤੇ ਉਹ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਲੱਭਣ ਲਈ ਭਰੋਸਾ ਕਰਦੇ ਹਨ। ਘਟਨਾਵਾਂ ਦੇ ਇੱਕ ਮੋੜ ਵਿੱਚ, ਟ੍ਰੀਵੀ, ਇੱਕ ਪ੍ਰਸਿੱਧ ਓਪਨ-ਸਰੋਤ ਕਮਜ਼ੋਰੀ ਸਕੈਨਰ ਜੋ Aqua ਸੁਰੱਖਿਆ ਦੁਆਰਾ ਬਣਾਈ ਗਈ ਹੈ, ਨੇ ਆਪਣੇ ਆਪ ਨੂੰ ਇੱਕ ਵਧੀਆ ਹਮਲੇ ਦੇ ਕੇਂਦਰ ਵਿੱਚ ਪਾਇਆ। ਖ਼ਰਾਬ ਅਦਾਕਾਰਾਂ ਨੇ ਇਸਦੇ GitHub ਐਕਸ਼ਨ ਰਿਪੋਜ਼ਟਰੀ ਦੇ ਅੰਦਰ ਇੱਕ ਖਾਸ ਸੰਸਕਰਣ ਟੈਗ (`v0.48.0`) ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ, ਇਸਦੀ ਵਰਤੋਂ ਕਰਨ ਵਾਲੇ ਕਿਸੇ ਵੀ ਵਰਕਫਲੋ ਤੋਂ ਸੰਵੇਦਨਸ਼ੀਲ ਭੇਦ ਚੋਰੀ ਕਰਨ ਲਈ ਬਣਾਏ ਗਏ ਕੋਡ ਨੂੰ ਇੰਜੈਕਟ ਕਰਦੇ ਹੋਏ। ਇਹ ਘਟਨਾ ਇੱਕ ਪੂਰੀ ਤਰ੍ਹਾਂ ਯਾਦ ਦਿਵਾਉਂਦੀ ਹੈ ਕਿ ਸਾਡੇ ਆਪਸ ਵਿੱਚ ਜੁੜੇ ਵਿਕਾਸ ਈਕੋਸਿਸਟਮ ਵਿੱਚ, ਵਿਸ਼ਵਾਸ ਨੂੰ ਲਗਾਤਾਰ ਪ੍ਰਮਾਣਿਤ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ, ਨਾ ਕਿ ਮੰਨਿਆ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ।
ਟੈਗ ਸਮਝੌਤਾ ਹਮਲੇ ਦਾ ਸਰੀਰ ਵਿਗਿਆਨ
ਇਹ ਟ੍ਰੀਵੀ ਦੇ ਕੋਰ ਐਪਲੀਕੇਸ਼ਨ ਕੋਡ ਦੀ ਉਲੰਘਣਾ ਨਹੀਂ ਸੀ, ਪਰ ਇਸਦੇ CI/CD ਆਟੋਮੇਸ਼ਨ ਦਾ ਇੱਕ ਚਲਾਕ ਵਿਗਾੜ ਸੀ। ਹਮਲਾਵਰਾਂ ਨੇ GitHub ਐਕਸ਼ਨ ਰਿਪੋਜ਼ਟਰੀ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ, 'v0.48.0' ਟੈਗ ਲਈ `action.yml` ਫਾਈਲ ਦਾ ਇੱਕ ਖਤਰਨਾਕ ਸੰਸਕਰਣ ਬਣਾਇਆ। ਜਦੋਂ ਇੱਕ ਡਿਵੈਲਪਰ ਦੇ ਵਰਕਫਲੋ ਨੇ ਇਸ ਖਾਸ ਟੈਗ ਦਾ ਹਵਾਲਾ ਦਿੱਤਾ, ਤਾਂ ਕਾਰਵਾਈ ਜਾਇਜ਼ ਟ੍ਰੀਵੀ ਸਕੈਨ ਨੂੰ ਚਲਾਉਣ ਤੋਂ ਪਹਿਲਾਂ ਇੱਕ ਨੁਕਸਾਨਦੇਹ ਸਕ੍ਰਿਪਟ ਨੂੰ ਲਾਗੂ ਕਰੇਗੀ। ਇਸ ਸਕ੍ਰਿਪਟ ਨੂੰ ਹਮਲਾਵਰ ਦੁਆਰਾ ਨਿਯੰਤਰਿਤ ਰਿਮੋਟ ਸਰਵਰ ਲਈ - ਜਿਵੇਂ ਕਿ ਰਿਪੋਜ਼ਟਰੀ ਟੋਕਨ, ਕਲਾਉਡ ਪ੍ਰਦਾਤਾ ਪ੍ਰਮਾਣ ਪੱਤਰ, ਅਤੇ API ਕੁੰਜੀਆਂ ਨੂੰ ਬਾਹਰ ਕੱਢਣ ਲਈ ਇੰਜਨੀਅਰ ਕੀਤਾ ਗਿਆ ਸੀ। ਇਸ ਹਮਲੇ ਦੀ ਗੁੰਝਲਦਾਰ ਪ੍ਰਕਿਰਤੀ ਇਸਦੀ ਵਿਸ਼ੇਸ਼ਤਾ ਵਿੱਚ ਹੈ; ਸੁਰੱਖਿਅਤ `@v0.48` ਜਾਂ `@main` ਟੈਗਸ ਦੀ ਵਰਤੋਂ ਕਰਨ ਵਾਲੇ ਡਿਵੈਲਪਰ ਪ੍ਰਭਾਵਿਤ ਨਹੀਂ ਹੋਏ, ਪਰ ਜਿਨ੍ਹਾਂ ਨੇ ਸਹੀ ਸਮਝੌਤਾ ਕੀਤੇ ਟੈਗ ਨੂੰ ਪਿੰਨ ਕੀਤਾ, ਉਹਨਾਂ ਨੇ ਅਣਜਾਣੇ ਵਿੱਚ ਉਹਨਾਂ ਦੀ ਪਾਈਪਲਾਈਨ ਵਿੱਚ ਇੱਕ ਗੰਭੀਰ ਕਮਜ਼ੋਰੀ ਪੇਸ਼ ਕੀਤੀ।
ਇਹ ਘਟਨਾ DevOps ਵਿਸ਼ਵ ਭਰ ਵਿੱਚ ਕਿਉਂ ਗੂੰਜਦੀ ਹੈ
ਟ੍ਰੀਵੀ ਸਮਝੌਤਾ ਕਈ ਕਾਰਨਾਂ ਕਰਕੇ ਮਹੱਤਵਪੂਰਨ ਹੈ। ਪਹਿਲਾਂ, ਟ੍ਰੀਵੀ ਇੱਕ ਬੁਨਿਆਦੀ ਸੁਰੱਖਿਆ ਸਾਧਨ ਹੈ ਜੋ ਲੱਖਾਂ ਲੋਕਾਂ ਦੁਆਰਾ ਕੰਟੇਨਰਾਂ ਅਤੇ ਕੋਡ ਵਿੱਚ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਸਕੈਨ ਕਰਨ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ। ਸੁਰੱਖਿਆ ਸਾਧਨ 'ਤੇ ਹਮਲਾ ਸੁਰੱਖਿਅਤ ਵਿਕਾਸ ਲਈ ਲੋੜੀਂਦੇ ਬੁਨਿਆਦ ਭਰੋਸੇ ਨੂੰ ਖਤਮ ਕਰ ਦਿੰਦਾ ਹੈ। ਦੂਜਾ, ਇਹ "ਉੱਪਰ ਵੱਲ" ਜਾਣ ਵਾਲੇ ਹਮਲਾਵਰਾਂ ਦੇ ਵਧ ਰਹੇ ਰੁਝਾਨ ਨੂੰ ਉਜਾਗਰ ਕਰਦਾ ਹੈ, ਉਹਨਾਂ ਸਾਧਨਾਂ ਅਤੇ ਨਿਰਭਰਤਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ ਜਿਨ੍ਹਾਂ 'ਤੇ ਹੋਰ ਸਾਫਟਵੇਅਰ ਬਣਾਏ ਗਏ ਹਨ। ਇੱਕ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਵਰਤੇ ਜਾਣ ਵਾਲੇ ਹਿੱਸੇ ਨੂੰ ਜ਼ਹਿਰ ਦੇ ਕੇ, ਉਹ ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਡਾਊਨਸਟ੍ਰੀਮ ਪ੍ਰੋਜੈਕਟਾਂ ਅਤੇ ਸੰਸਥਾਵਾਂ ਦੇ ਇੱਕ ਵਿਸ਼ਾਲ ਨੈਟਵਰਕ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰ ਸਕਦੇ ਹਨ। ਇਹ ਘਟਨਾ ਸਪਲਾਈ ਚੇਨ ਸੁਰੱਖਿਆ ਵਿੱਚ ਇੱਕ ਨਾਜ਼ੁਕ ਕੇਸ ਅਧਿਐਨ ਵਜੋਂ ਕੰਮ ਕਰਦੀ ਹੈ, ਇਹ ਦਰਸਾਉਂਦੀ ਹੈ ਕਿ ਕੋਈ ਵੀ ਔਜ਼ਾਰ, ਭਾਵੇਂ ਕਿੰਨਾ ਵੀ ਪ੍ਰਤਿਸ਼ਠਾਵਾਨ ਹੋਵੇ, ਹਮਲਾ ਕਰਨ ਵਾਲੇ ਵੈਕਟਰ ਵਜੋਂ ਵਰਤੇ ਜਾਣ ਲਈ ਪ੍ਰਤੀਰੋਧਕ ਨਹੀਂ ਹੈ।
ਤੁਹਾਡੀਆਂ GitHub ਕਾਰਵਾਈਆਂ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨ ਲਈ ਤੁਰੰਤ ਕਦਮ
ਇਸ ਘਟਨਾ ਦੇ ਮੱਦੇਨਜ਼ਰ, ਡਿਵੈਲਪਰਾਂ ਅਤੇ ਸੁਰੱਖਿਆ ਟੀਮਾਂ ਨੂੰ ਆਪਣੇ GitHub ਐਕਸ਼ਨ ਵਰਕਫਲੋ ਨੂੰ ਸਖ਼ਤ ਕਰਨ ਲਈ ਕਿਰਿਆਸ਼ੀਲ ਉਪਾਅ ਕਰਨੇ ਚਾਹੀਦੇ ਹਨ। ਸੰਤੁਸ਼ਟੀ ਸੁਰੱਖਿਆ ਦੀ ਦੁਸ਼ਮਣ ਹੈ। ਇੱਥੇ ਤੁਰੰਤ ਲਾਗੂ ਕਰਨ ਲਈ ਜ਼ਰੂਰੀ ਕਦਮ ਹਨ:
ਮੇਵੇਜ਼ ਨਾਲ ਇੱਕ ਲਚਕੀਲਾ ਫਾਊਂਡੇਸ਼ਨ ਬਣਾਉਣਾ
ਜਦੋਂ ਕਿ ਵਿਅਕਤੀਗਤ ਔਜ਼ਾਰਾਂ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨਾ ਮਹੱਤਵਪੂਰਨ ਹੁੰਦਾ ਹੈ, ਅਸਲ ਲਚਕੀਲਾਪਣ ਤੁਹਾਡੇ ਕਾਰੋਬਾਰੀ ਕਾਰਜਾਂ ਲਈ ਇੱਕ ਸੰਪੂਰਨ ਪਹੁੰਚ ਤੋਂ ਆਉਂਦਾ ਹੈ। ਟ੍ਰੀਵੀ ਸਮਝੌਤਾ ਵਰਗੀਆਂ ਘਟਨਾਵਾਂ ਆਧੁਨਿਕ ਟੂਲਚੇਨਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਛੁਪੀਆਂ ਗੁੰਝਲਾਂ ਅਤੇ ਜੋਖਮਾਂ ਨੂੰ ਪ੍ਰਗਟ ਕਰਦੀਆਂ ਹਨ। ਮੇਵੇਜ਼ ਵਰਗਾ ਪਲੇਟਫਾਰਮ ਇੱਕ ਏਕੀਕ੍ਰਿਤ, ਮਾਡਯੂਲਰ ਵਪਾਰਕ OS ਪ੍ਰਦਾਨ ਕਰਕੇ ਇਸ ਨੂੰ ਸੰਬੋਧਿਤ ਕਰਦਾ ਹੈ ਜੋ ਨਿਰਭਰਤਾ ਫੈਲਾਅ ਨੂੰ ਘਟਾਉਂਦਾ ਹੈ ਅਤੇ ਨਿਯੰਤਰਣ ਨੂੰ ਕੇਂਦਰਿਤ ਕਰਦਾ ਹੈ। ਇੱਕ ਦਰਜਨ ਵੱਖ-ਵੱਖ ਸੇਵਾਵਾਂ ਨੂੰ ਜੋੜਨ ਦੀ ਬਜਾਏ-ਹਰ ਇੱਕ ਆਪਣੇ ਸੁਰੱਖਿਆ ਮਾਡਲ ਅਤੇ ਅੱਪਡੇਟ ਚੱਕਰ ਦੇ ਨਾਲ-ਮੇਵੇਜ਼ ਇੱਕ ਸਿੰਗਲ, ਸੁਰੱਖਿਅਤ ਵਾਤਾਵਰਣ ਵਿੱਚ ਪ੍ਰੋਜੈਕਟ ਪ੍ਰਬੰਧਨ, CRM, ਅਤੇ ਦਸਤਾਵੇਜ਼ ਪ੍ਰਬੰਧਨ ਵਰਗੇ ਮੁੱਖ ਕਾਰਜਾਂ ਨੂੰ ਏਕੀਕ੍ਰਿਤ ਕਰਦਾ ਹੈ। ਇਹ ਇਕਸੁਰਤਾ ਹਮਲੇ ਦੀ ਸਤਹ ਨੂੰ ਘੱਟ ਤੋਂ ਘੱਟ ਕਰਦੀ ਹੈ ਅਤੇ ਸੁਰੱਖਿਆ ਸ਼ਾਸਨ ਨੂੰ ਸਰਲ ਬਣਾਉਂਦੀ ਹੈ, ਜਿਸ ਨਾਲ ਟੀਮਾਂ ਨੂੰ ਇੱਕ ਖੰਡਿਤ ਸੌਫਟਵੇਅਰ ਸਟੈਕ ਵਿੱਚ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਲਗਾਤਾਰ ਪੈਚ ਕਰਨ ਦੀ ਬਜਾਏ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਨੂੰ ਬਣਾਉਣ 'ਤੇ ਧਿਆਨ ਦੇਣ ਦੀ ਇਜਾਜ਼ਤ ਮਿਲਦੀ ਹੈ। ਅਜਿਹੀ ਦੁਨੀਆ ਵਿੱਚ ਜਿੱਥੇ ਇੱਕ ਇੱਕਲੇ ਸਮਝੌਤਾ ਟੈਗ ਇੱਕ ਵੱਡੀ ਉਲੰਘਣਾ ਦਾ ਕਾਰਨ ਬਣ ਸਕਦਾ ਹੈ, ਮੇਵੇਜ਼ ਦੁਆਰਾ ਪੇਸ਼ ਕੀਤੀ ਗਈ ਏਕੀਕ੍ਰਿਤ ਸੁਰੱਖਿਆ ਅਤੇ ਸੁਚਾਰੂ ਕਾਰਜ ਵਿਕਾਸ ਲਈ ਇੱਕ ਵਧੇਰੇ ਨਿਯੰਤਰਿਤ ਅਤੇ ਆਡਿਟ ਕਰਨ ਯੋਗ ਬੁਨਿਆਦ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ।
ਅੱਜ ਹੀ ਆਪਣਾ ਕਾਰੋਬਾਰ OS ਬਣਾਓ
ਫ੍ਰੀਲਾਂਸਰਾਂ ਤੋਂ ਲੈ ਕੇ ਏਜੰਸੀਆਂ ਤੱਕ, Mewayz 208 ਏਕੀਕ੍ਰਿਤ ਮੌਡਿਊਲਾਂ ਦੇ ਨਾਲ 138,000+ ਕਾਰੋਬਾਰਾਂ ਨੂੰ ਸ਼ਕਤੀ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ। ਮੁਫ਼ਤ ਸ਼ੁਰੂ ਕਰੋ, ਜਦੋਂ ਤੁਸੀਂ ਵੱਡੇ ਹੋਵੋ ਤਾਂ ਅੱਪਗ੍ਰੇਡ ਕਰੋ।
ਮੁਫ਼ਤ ਖਾਤਾ ਬਣਾਓ →Try Mewayz Free
All-in-one platform for CRM, invoicing, projects, HR & more. No credit card required.
Get more articles like this
Weekly business tips and product updates. Free forever.
You're subscribed!
Start managing your business smarter today
Join 6,210+ businesses. Free forever plan · No credit card required.
Ready to put this into practice?
Join 6,210+ businesses using Mewayz. Free forever plan — no credit card required.
Start Free Trial →Related articles
Hacker News
Claude Code removed from Anthropic's Pro plan
Apr 21, 2026
Hacker News
California has more money than projected after admin miscalculated state budget
Apr 21, 2026
Hacker News
Zindex – Diagram Infrastructure for Agents
Apr 21, 2026
Hacker News
I don't want your PRs anymore
Apr 21, 2026
Hacker News
OpenAI Livestream
Apr 21, 2026
Hacker News
Framework Laptop 13 Pro
Apr 21, 2026
Ready to take action?
Start your free Mewayz trial today
All-in-one business platform. No credit card required.
Start Free →14-day free trial · No credit card · Cancel anytime