Open-source software gebruikt door meer dan 20,5 bedrijven, sommige van hen, in grootschalige initiatieven, werden de indringers in de laatste open-source supply-chain-aanval op internet aangetast met diefstalcode van het certificaat na ontvangst van ongeautoriseerde toegang tot een onderhoudsaccount.
Vervuilde pakketten, Tj-action/veranderd bestandEen deel ervan TJ-actieEen verzameling bestanden die door meer dan 23.000 bedrijven worden gebruikt. TJ-Action is een van de vele GithabOpen-Source is een vorm van platform voor de stroomlijningssoftware die beschikbaar is op het ontwikkelingsplatform. Acties zijn een belangrijke manier om te implementeren wat bekend staat CI/CDKorte (of continue verdeling) voor continue consolidatie en continue implementatie.
Het servergeheugen op de schaal schrapen
Vrijdag of eerder heeft de broncode van alle versies van de TJ-Action/Changed-Files ongeautoriseerde updates ontvangen die “tag” -ontwikkelaars gebruiken om specifieke codeversies op te geven. Tags wijzen op een universeel beschikbaar bestand dat het interne geheugen van Sever het uitvoert, op zoek is naar certificaten en schrijft ze op een logboek. Vervolgens eindigt TJ-activiteit door hun meest gevoelige referenties op logboeken weer te geven die iedereen kan zien in veel openbaar toegankelijke repositaties.
“Het vreselijke deel van de actie is dat ze vaak de broncode kunnen corrigeren die ze gebruiken en toegang krijgen tot geheime variabelen die verband houden met een workflow,” zei HD Moore, de oprichter en CEO van Runzaro, en de expert in de open-source beveiliging, een interview. “Het meest fysieke gebruik van de werkwoorden is om alle broncode te controleren, dan de opgegeven commissie hash in plaats van de tag … vastgemaakt in de workflow, maar dit is een gedoe.”
