Introduction

La chaîne d'approvisionnement open source est devenue une cible privilégiée pour les attaques. Les attaquants visent à exfiltrer des secrets tels que les clés API pour publier des packages malveillants et accéder à davantage de projets. Ces attaques commencent souvent par la compromission d'un workflow sur GitHub Actions.

Contexte Technique

Pour sécuriser vos workflows GitHub Actions, il est essentiel d'activer CodeQL pour examiner vos implémentations de workflow et suivre les meilleures pratiques de sécurité. Il est également recommandé de revoir les conseils de sécurité détaillés, notamment en évitant de déclencher des workflows sur les pull requests cibles, en épinglant les actions tierces aux SHAs de commit complets, et en étant vigilant face aux injections de scripts lors de la référence de contenu soumis par l'utilisateur.

GitHub a travaillé avec de nombreux systèmes pour intégrer les tokens OpenID Connect dans les workflows, permettant ainsi d'autoriser les activités sans utiliser de secrets. Cette fonctionnalité, appelée publication de confiance, est désormais prise en charge par de nombreuses bibliothèques de packages, notamment npm, PyPI, NuGet, RubyGems et Crates.

Analyse et Implications

Les attaques contre la chaîne d'approvisionnement open source peuvent avoir des implications importantes sur la sécurité et l'intégrité des projets. Il est crucial de rester vigilant et de mettre en œuvre des mesures de sécurité pour protéger les workflows et les dépendances. Les outils tels que Dependabot peuvent aider à détecter les dépendances malveillantes ou vulnérables et à alerter les utilisateurs.

GitHub a également travaillé à améliorer la détection et la suppression des logiciels malveillants dans les packages npm, avec des centaines de packages contenant du code malveillant détectés quotidiennement. Cependant, même un faible taux de faux positifs peut perturber des publications légitimes, soulignant l'importance d'une approche soigneuse et humaine dans la vérification des résultats.

Perspective

À l'avenir, GitHub prévoit d'accélérer les capacités de sécurité pour GitHub Actions et de poursuivre les efforts pour améliorer la sécurité de la chaîne d'approvisionnement open source. Les utilisateurs sont invités à fournir des commentaires sur la feuille de route de sécurité pour GitHub Actions et à participer à la discussion communautaire pour façonner l'avenir de la sécurité open source.

En fin de compte, la sécurité de la chaîne d'approvisionnement open source est une responsabilité partagée qui nécessite la collaboration de tous les acteurs impliqués. En travaillant ensemble, nous pouvons renforcer la sécurité et protéger l'intégrité de la communauté open source.