ソースコードに潜む秘密がどのように重大な違反につながるか from thehackernews.com
security summary
ソフトウェアサプライチェーン攻撃は、ハッカーがサードパーティのソフトウェアコンポーネントのコードを操作して、それらを使用する「ダウンストリーム」アプリケーションを侵害した場合に発生します。
これは、ハッカーがハードコードされたクレデンシャルを利用して被害者のシステムに最初にアクセスし、チェーンの下流でより多くの秘密を収集する方法を示す教科書の例です。
600万の秘密がGitHubにプッシュされました
それらの秘密の大部分は、企業リソースへのアクセスを提供していました。
多くの開発者は個人的なプロジェクトにGitHubを使用しており、誤って企業のクレデンシャルが漏洩する可能性があります(そうです、定期的に発生します!)。
シークレットでさえ、重大な違反につながる攻撃で悪用される可能性があるためです。
コメント