谷歌的 Project Zero 团队致力于寻找公司自身软件以及其他公司开发的软件中的安全漏洞。其方法是私下向供应商报告缺陷,并在公开披露前给他们 90 天的时间来修复。根据情况的严重程度,这一期限可能会根据该集团的标准准则被延长或拉近。
11 月初,谷歌公开披露了 GitHub 中的一个 "高"严重性安全问题,此前后者无法在 104 天内修复--超过了标准时限。不过,GitHub 用户现在会很高兴地知道,这个安全漏洞终于被填补了。
该安全漏洞源自 GitHub Actions 中的工作流命令,它作为执行动作和 Action Runner 之间的通信渠道极易受到注入攻击。谷歌 Project Zero 的 Felix Wilhelm 最初报告了这个安全漏洞,他表示工作流命令的实现方式 "从根本上来说是不安全的"。短期的解决方案是废止命令语法,而长期的修复方法是将工作流命令转移到一些外链通道,但这也很棘手,因为这会破坏依赖性代码。在 GitHub 未能在规定的 104 天内修复该问题后,谷歌于 11 月 2 日公开披露了该问题。
显然,这给该公司带来了一定的压力,目前该漏洞已经被修复。补丁说明显示,该修复方法与 Wilhelm 提出的短期解决方案一致。
停用 add-path 和 set-env runner 命令(#779)
更新了 dotnet 安装脚本(#779)
几天前,GitHub 已经修复了这个问题,但现在已经被谷歌 Project Zero 团队验证,并在问题库中标记。这样一来,安全团队报告的公开问题清单就减少到了 9 个。其中包括微软、高通和苹果等众多厂商开发的软件。唯一存在于谷歌自家软件中的开放问题与 Android 上的指针泄露有关,但这一 "中等"严重性缺陷的状态自 2016 年 9 月以来一直处于开放状态。
相关推荐
© 2020 asciim码
人生就是一场修行