标签
安全公司StepSecurity发布新功能"Apps & PATs",为GitHub企业提供统一的仪表板,集中监控GitHub Apps、细粒度PAT和经典PAT。该功能可跨多个GitHub组织汇总数据,用颜色编码显示权限风险等级,帮助安全团队识别权限过大的应用和长期未使用的令牌,替换手动维护Excel表格的传统方式。此工具已面向Enterprise层级客户开放,旨在帮助企业持续审计集成商、减少供应链安全盲点。
StepSecurity发布了Threat Intelligence实时供应链攻击告警系统,可直接集成到现有SIEM和SOC工具中。该平台基于此前率先发现的tj-actions、nx等供应链攻击的检测系统构建,能在包被篡改后数分钟内触发告警,将平均检测时间和响应时间从数天缩短至数分钟。系统覆盖npm、GitHub Actions等生态,提供标准化告警和可操作修复建议,建议依赖这些平台的企业接入以实现供应链威胁的实时监控。
2025年8月4日,AWS热门GitHub Action仓库 aws-actions/configure-aws-credentials 的v4.3.0标签被创建后因代理支持bug被删除,随后在修复后重新指向新提交(从59b44184改为d0834ad)。该事件影响了超过22.5万个依赖此Action的仓库,与3月份发生的tj-actions/changed-files和reviewdog/action-setup标签篡改攻击模式完全一致。StepSecurity的Artifact Monitor自动检测到此异常并触发告警,证明即使是无害的版本回滚也会触发与供应链攻击相同的特征,表明持续监控标签变动对保护CI/CD管道至关重要。
过去三年间,Kong、Docker Hub、Ultralytics、PyPI、npm及xrpl.js等平台发生多起供应链攻击事件。攻击者利用被盗的GitHub Actions令牌或开发者账户凭证,绕过CI/CD流程直接向注册表发布恶意版本(如Kong v3.4.0后门镜像、xrpl.js后门SDK等),导致恶意容器和投毒库在官方渠道流通数天至数周未被检测。StepSecurity Artifact Monitor通过实时关联发布物与CI/CD工作流执行日志,可在数分钟内标记非合规版本,建议企业部署此类registry监控工具以防止供应链攻击。
StepSecurity的Harden-Runner现已保护超过7000个GitHub仓库,每周监控超过500万个CI/CD任务。该工具在tj-actions供应链攻击事件中发挥了早期预警作用,通过冒名提交检测、进程行为分析和基线监控等功能,帮助开发者和企业防护CI/CD流水线中的供应链威胁。GitLab用户现也可使用该工具的遥测和策略执行功能。