Codecov将退出Bash脚本，负责供应链攻击浪潮

Codecov引入了一个新的上传程序，它依赖NodeJS来替换和删除一个Bash脚本，该脚本负责最近的一次供应链攻击。

总部位于旧金山的DevOps工具提供商https://about.codecov.io/blog/introducing-codecovs-new-uploader/“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>在一篇博客文章中说，新的上传程序将作为一个适用于Windows、Linux、Alpine Linux的静态二进制可执行文件发布，还有macOS。

https://uploader.codecov.io“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>uploader，与现有Bash uploader的使用方式相同，用于在开发周期中将覆盖率数据和更新推送到产品。上载程序目前处于测试阶段，因此尚未完全集成，但Codecov表示，“目前用Bash上载程序完成的大多数标准工作流都可以用新的上载程序完成。”

Codecov的Bash上载程序是2021年1月31日前后发生的一系列供应链攻击的源头，4月15日公开。

通过渗透Codecov的网络并劫持Bash上传程序，威胁参与者确保了用户不会像Codecov所希望的那样在项目更新过程中推送“更健康”的代码，反而会受到存储在其持续集成（CI）环境中的信息被盗的影响

根据泄密事件公开后带来的调查人员的说法，攻击可能还允许攻击者“突袭额外资源”，包括凭据，在某些情况下可能导致更广泛的网络泄露

人们认为https://www.zdnet.com/article/codecov-breach-impacted-hundreds-of-customer-networks/“target=”\u blank“>数百个组织可能卷入了这起安全事件。已知受害者包括Rapid7、Monday.com、Mercari和Twilio。

Codecov的Bash上传程序范围——Github、CircleCl Orb和Bitrise Step的Codecov操作上传程序——都受到了影响。

该公司表示，随着新的上传程序的推出，所有其他特定语言的上传程序都将被贬值，而Bash上传程序将受到“特别关注”。

Codecov已经在NodeJS上传器上工作了八个月，最初是为了减少随着Codecov客户群的增加而增加的上传和维护的复杂性。

现在Bash脚本与一个严重的安全事件联系在一起，升级已经成为一个迫切的需要。

“选择的分发机制（即curl-pipe-to-bash）虽然非常方便，但从安全的角度来看却是出了名的问题，”Codecov说curl | bash方法的弱点在最近的安全事件中凸显出来。”

新的上传程序现在可以在Beta保护伞下公开使用，包括一个更安全、可验证的分发体系结构，防止未经授权的代码修改，以及一个改进的CI/CD管道，用于在Windows、Linux和macOS上对上传程序进行自动测试

Codecov希望从11月开始降低Bash上传程序的价值，计划2022年2月1日之后系统将全面日落。

有小费吗？通过WhatsApp安全联系，电话：+447713 025 499，或访问Keybase:charlie0

2021年亚马逊黄金日最佳交易：Chromebook笔记本电脑

2021年亚马逊黄金日最佳交易：家庭办公家具，您同意https://redventures.com/CMG-terms-of-use.html“target=”\u blank“rel=”noopener noreferrer nofollo

2023-03-22 10:04:36

新人小程序+APP定制199元起

发放福利，助力中小企业发展，真正在互联网中受益

 点击询问定制

广告服务展示