Апликације које користе стара имена складишта на ГитХуб-у као зависности могу заправо да воде кориснике до малвера. Ево шта треба да знате.

Све је очигледније да репојацкинг ГитХуб-а представља легитиман ризик за програмере. Хакери могу да искористе предности корисника и компанија које мењају своја ГитХуб имена тако што ће отимати старо складиште имена у нади да ће злонамерне датотеке које додају моћи да преузму апликације које користе код као а зависност.

Важно је, дакле, да предузмете кораке да заштитите сопствени ГитХуб пројекат ако сте недавно променили своје корисничко име или референцирали друга спремишта као зависности.

Шта је РепоЈацкинг?

ГитХуб репојацкинг је врста експлоатације која се може десити након што власник спремишта промени своје корисничко име. Комбинација старог корисничког имена и имена спремишта постаје доступна, а репојацкер може искористити своје зависности тако што ће затражити корисничко име и креирање спремишта са истим именом.

Репојацкинг може представљати две различите врсте ризика:

  • Репојацкинг може учинити иначе поуздану апликацију непоузданом. Ако користите апликацију која користи ГитХуб спремиште као зависност, а власник преименује спремиште, коришћење апликације ће вас оставити рањивим.
  • Репојацкинг може да угрози апликацију коју развијате. Ако референцирате ГитХуб спремиште као зависност и не приметите или ажурирате га када се спремиште преименује, ваша апликација ће бити подложна експлоатацији поновног преузимања.

Репојацкинг не представља огроман ризик за кориснике, али постоји легитиман разлог да се верује да би могао да послужи као механизам за озбиљан напад на ланац снабдевања. Ако апликација има зависност која упућује на репојацкед спремиште, она ће позвати и примити код од репојацкера који може да садржи малвер.

Ако развијате на ГитХуб-у, знајући како можете смањите ризик од напада на ланац снабдевања и поновно преузимање—и у смислу да је отето складиште и да буде трећа страна са зависностима—је од виталног значаја.

Како минимизирати ризик од репоЈацкинга

Напади поновног преузимања ослањају се на изузетно предвидљив механизам: отмичари преузимају контролу над складиштем за које није затражено, а затим искоришћавају све апликације које га наводе као зависност. Срећом, ово олакшава борбу против поновног преузимања.

Креирајте приватне клонове складишта

Клонирање спремишта је одличан начин да се минимизира ризик повезан са зависностима у вашем пројекту јер ћете имати апсолутну контролу над вашом приватном копијом. Можете креирати приватну копију јавног спремишта голим клонирањем и гурањем огледала, као што је документовано на ГитХуб.

Пажљиво пратите зависности од пројекта

Ако одлучите да бисте радије избегли проблеме и упутили се на јавна спремишта, требало би да се уверите да често проверавате зависности својих пројеката. Провера статуса ваших зависности неколико пута годишње трајаће највише сат времена—и уштедеће вам много стреса.

Размислите о преименовању вашег налога

У идеалном случају, ажурирање вашег корисничког имена не би било разлог за забринутост. Међутим, с обзиром на ризик од поновног преузимања, требало би да размислите о томе да задржите своје застарело име. Ако морате да промените своје корисничко име, требало би да затражите и резервишете старо име тако што ћете регистровати други налог.

Користите мудро спољне ресурсе

Зависности представљају инхерентан ризик јер стварају приступне тачке треће стране у вашој апликацији. Иако обично вреде уштедети време, редовна ревизија зависности вашег пројекта је кључна. Такође би требало да предузмете друге мере безбедности, као што је коришћење ССХ аутентификације, да бисте спречили експлоатацију.