标签
GitHub推出了自定义运行器镜像功能(公开预览版),允许组织将StepSecurity的Harden-Runner安全代理直接嵌入到运行器镜像中。GitHub Actions用户现在可实现组织范围的运行时保护,无需在每个workflow文件中逐一添加Harden-Runner步骤,解决了大规模部署时的维护负担和治理漏洞。该架构使CI/CD安全从工作流级别的附加组件转变为平台层面的默认保护,现有workflow文件中的Harden-Runner步骤不会产生冲突。
2025年9月,JavaScript生态系统遭受多次重大供应链攻击,其中Shai-Hulud蠕虫感染了500多个npm包,Singularity攻击目标是热门的Nx构建系统,eslint-config-prettier则通过Scavenger木马影响了每周3000万次下载量的用户。StepSecurity推出的npm Package Search工具可快速追踪任意npm包在组织内各Pull Request中的引入情况,将原本需要数小时的溯源工作缩短至秒级。组织应在供应链攻击发生时立即评估影响范围并采取针对性补救措施。
StepSecurity宣布成为GitHub Universe 2025的Bronze赞助商,将于10月28-29日在旧金山Fort Mason Center的102号展位设立公司首个大型会议展位。该公司专注于GitHub Actions工作流安全,将展示其Harden-Runner产品如何通过基准监控检测tj-actions/changed-files等供应链攻击事件,并提供第三方actions风险评估和工作流策略强制执行等安全解决方案。此次赞助表明StepSecurity正加大对开发者社区的投入,帮助企业防御CI/CD管道中的供应链攻击风险。
StepSecurity的Harden-Runner已保护超过8,000个开源仓库,通过EDR风格的运行时监控为GitHub Actions的CI/CD管道提供防护。该工具曾检测到影响超过23,000个仓库的tj-actions供应链攻击(涉及GitHub、Meta、Microsoft),并捕获了AWS configure-aws-credentials的异常标签操作。近期它还检测到npm生态系统中的多起攻击,包括chalk、debug、NX Build System等流行包的妥协事件,以及GhostAction活动中3,000+个密钥被盗的情况。关键启示:运行时行为监控能够发现静态分析无法识别的供应链威胁,对Kubernetes、Ruby等关键项目的CI/CD管道防护尤为重要。
GitGuardian安全研究人员Gaetan Ferry和Guillaume Valadon发现了名为"GhostAction"的大规模供应链攻击活动,影响327个GitHub用户和817个仓库,窃取了3,325个秘密,包括PyPI、npm和DockerHub令牌。攻击者通过注入伪装成"GitHub Actions Security"工作流的恶意代码,将敏感凭证发送至攻击者控制的服务器bold-dhawan.45-139-104-115.plesk.page。多家公司的SDK组合在Python、Rust、JavaScript和Go仓库中遭到全面入侵,单个开发者账户被攻破即可引发全组织范围的安全事故。防御建议包括:启用分支保护要求PR审查、轮换所有暴露的密钥、以及使用StepSecurity的Secret Exfiltration Policy阻止未审查工作流访问密钥。
SolarWinds供应链攻击(2020年)通过在构建过程中植入恶意代码,绕过了代码签名、代码审查等传统防护措施,因为源码仓库本身未被篡改。StepSecurity推出Harden Runner解决方案,通过Linux审计框架监控GitHub托管运行器(Ubuntu VM)中GitHub Actions工作流的文件修改行为,在构建时检测源码篡改并标记错误。该工具已在500多个仓库中使用,包括Google、Microsoft、Automattic的开源项目以及nvm和Caffeine等流行项目。
2025年3月,攻击者通过"冒名提交"(imposter commits)技术劫持了GitHub Action tj-actions/changed-files,将超过23,000个公共仓库的发布标签重定向至恶意分叉,该攻击波及GitHub、Meta、Microsoft、HashiCorp及Hugging Face等组织。恶意代码通过memdump.py从Runner.Worker进程内存中窃取CI/CD密钥,并以双重Base64编码写入构建日志以绕过GitHub的自动掩码机制。攻击链起源于spotbugs/sonar-findbugs仓库的Pwn Request漏洞,经spotbugs、reviewdog层层传递至tj-actions,最终由StepSecurity Harden Runner通过基线监控检测到异常出站连接至gist.githubusercontent.com而暴露。防御建议包括:对CI/CD Runner实施行为监控、将Action固定至具体Commit SHA以及启用Action白名单机制。
GitHub Actions密钥用于在存储库中存储敏感信息(如部署凭证和访问密钥),但若管理不当可能导致严重安全风险。文章介绍了多个最佳实践,包括定期轮换密钥、将组织密钥限制在特定仓库使用、仅将密钥用于敏感数据而用变量存储非敏感配置、以及利用环境密钥配合强制审批保护生产环境密钥。此外还建议避免在日志中打印密钥、不使用结构化数据存储密钥,并建立系统扫描Actions日志以检测意外泄露的凭证。
Python包num2words的0.5.15版本在2025年7月28日被发布到PyPI,但官方GitHub仓库中没有对应的标签,表明该版本未经正常发布流程。安全研究员@johnk3r发现该版本与已知威胁行为者"Scavenger"存在潜在关联,PyPI已迅速下架该版本以防止进一步安装。此事件提醒开发者应验证软件包发布记录与仓库标签的一致性。
StepSecurity扩展了其Policy Driven PRs功能,可自动将组织内所有仓库中使用的第三方GitHub Actions替换为StepSecurity维护的安全版本。该功能针对存在供应链攻击风险的动作设计,如tj-actions/changed-files和reviewdog actions曾遭受的安全漏洞事件。此功能目前仅限Enterprise版用户使用,可帮助企业快速在组织层面执行安全策略,消除repo逐个手动更新的繁琐工作。