知名的产品设计网站,模板下载网站源码,网络营销的推广方式,wordpress权重内容概要#xff1a;
目前研究发现#xff0c;GitHub上超过15000个Go模块存储库容易受到一种名为“重新劫持”的攻击。
由于GitHub用户名的更改会造成9000多个存储库容易被重新劫持#xff0c;同时因为帐户删除#xff0c;会对6000多个存储库造成重新劫持的危机。目前统计… 内容概要
目前研究发现GitHub上超过15000个Go模块存储库容易受到一种名为“重新劫持”的攻击。
由于GitHub用户名的更改会造成9000多个存储库容易被重新劫持同时因为帐户删除会对6000多个存储库造成重新劫持的危机。目前统计而言这些存储库的Go模块版本不少于800000个。
重复劫持是“存储库”和“劫持”的组合是一种攻击技术它允许不良行为者利用帐户用户名的更改和删除来创建具有相同名称和预先存在的用户名的存储库从而发动开源软件供应链攻击。
用Go编程语言编写的模块特别容易被重新封装因为与npm或PyPI等其他包管理器解决方案不同它们是去中心化的因为它们被发布到GitHub或Bitbucket等版本控制平台。
任何人都可以指示Go模块镜像和pkg.Go.dev缓存模块的详细信息。攻击者可以注册新使用的用户名复制模块存储库并将新模块发布到proxy.golang.org和go.pkg.dev。
为了防止开发人员撤下潜在的不安全包GitHub制定了一种称为流行存储库命名空间退役的对策该对策阻止使用退役命名空间的名称创建存储库的尝试这些名称在所有者的帐户被重命名或删除之前已被克隆了100多次。
但这种保护对Go模块没有帮助因为它们是由模块镜像缓存的因此无需与存储库交互或克隆存储库。换句话说可能有一些流行的基于Go的模块被克隆了不到100次导致了某种程度的绕过。
研判认为
我方应高度重视我国使用github网站用户高达755万人位居全球第二。那么面对此类危害我方建议相关组织通过以下方式进行减少可能出现的危害
一、用户隔离。Copilot仅使用当前用户的M365用户的数据。人工智能工具不会显示用户可能是访客的其他用户的数据也不会显示任何可能设置跨用户同步的用户的数据。
二、训练界限。Copilot不使用您的任何业务数据来训练Copilot为所有用户使用的基础LLM。您不必担心您的专有数据会在其他用户中显示给其他用户。
