פרצות באפליקציות צד ג' גרמו לגניבת קוד מ- GitHub 

חברת GitHub דיווחה שלשום שהאקר ניצל ככל הנראה חולשת אבטחה או טעות אנוש מהצד של אפליקציות צד ג' Travis ו- Heroku,
שהן מצידן חשפו את ה- tokens ונתנו אליהם גישה,
וכך הוא גנב את ה- tokens , ודרכם נכנס ל- repositories פרטיים ב- GitHub (כולל NPM) שנתנו גישה לאותן אפליקציות של Heroku ו- Travis,
וכך הוריד את אותם repos אליו – כולל כל הקוד והמידע שבהם.

כלומר: השימוש בהרשאות לאפליקציות צד ג' איפשר פריצה ל- repo פרטיים שיושבים ב- GitHub .

איך תוכלו למנוע פריצה דומה אל ה- repo שלכם?

יש מספר כיווני פתרון – וכדאי ליישם את כולן:

צמצמו הרשאות

אם אתם משתמשים ב- GitHub בענן ונותנים לספקים צד ג' גישה ב- Oauth (סוג ה- tokens שנגנבו) –
צמצמו למינימום את ההרשאות שאתם נותנים לצד ג' לגשת למידע שלכם.
לכן כדאי לעבור על ההרשאות שהן מבקשות, ולוודא שהן לא רחבות ומתירניות מדי.
טעות נפוצה היא לתת הרשאות גורפות או כוללניות מדי.

הדבר נכון גם כאשר נותנים הרשאות ל- GitHub Apps .

הוסיפו שכבות הגנה

כדאי גם לשקול מעבר ל- GitHub / GitLab Enterprise בהתקנה פרטית משלכם (על שרת פרטי)
(on-premises / single tenant / self-managed) מאחורי שכבות הגנה נוספות כגון firewall, SSO או Secure Remote Access ,
או מאחורי כתובות IP מורשות בלבד (במהדורות  Enterprise בענן),
המעניקות שכבות הגנה נוספות מפני משתמשים לא מורשים מרחבי העולם.

הגנו על סודות (Secrets)

מעבר לכך – חשוב שאותם צד ג' יקפידו לאחסן את ה- tokens בכלים מסוג Vault (לניהול סודות) –
מה שהיה מקשה מאוד על האקרים להשיג את ה- tokens (והופך זאת כמעט תמיד לבלתי ניתן להשגה).

אם אתם משתמשים בצד ג' כאלה – בדקו או דרשו מהם (כחלק משרשרת האספקה שלכם) שהם יאחסנו זאת בכלים מסוג Vault,
כגון הכלים של Akeyless עם פתרון ה- SaaS ההיברידי ואלגוריתם ה- DFC הייחודי, או HashiCorp לרשתות סגורות.

הדבר נכון גם לכל אפליקציה שנותנת הרשאות גישה לצד ג' באמצעות tokens .

קישורים רלבנטים:

• ההודעה בבלוג GitHub
• פתרון ניהול הסודות של Akeyless
• הדרכה חינמית על ניהול סודות
• הקלטה: טרנדים ב- Code & Application Security
• אתר GitLab (עברית)

תודה לאמנון נסים מהצוות שלנו, על הסיוע בכתיבת המאמר.
קרדיט תמונה: besthqwallpapers.com