GitHub 轮换密钥以修复高危漏洞

关键要点

• GitHub 发现并修复了一项高危漏洞，可能导致生产容器内的凭证被访问。
• 在收到安全报告后，GitHub 立即轮换所有潜在暴露的凭证。
• 该漏洞已在 GitHub 企业服务器（GHES）中被发现，安全团队需使用新的公钥进行验证。
• 轮换密钥是标准安全实践，有助于防止未授权访问。

GitHub最近更新了它的密钥，原因是其披露了一项高危漏洞，可能导致对生产容器中凭证的访问。

在 1 月 16 日的博客文章中， ，它在 12 月 26日收到了有关该漏洞的报告，并在同一天修复了该安全漏洞，随后开始轮换所有可能泄露的凭证。GitHub 还感谢了来自 STAR Labs 的 Ngo WeiLin () 报告了这一漏洞。

根据 研究人员的说法，他们“高度自信”这一漏洞 —
—
之前未被发现或利用。虽然他们对影响范围的信心主要局限于报告该事件的漏洞悬赏研究人员，但在凭证暴露给第三方的情况下，GitHub 会进行轮换。

该安全漏洞还在 GitHub 企业服务器 (GHES) 中被发现。对于那些在 GitHub 外部验证 GitHub.com 提交的安全团队（包括在 GHES中的验证），将需要导入 GitHub 的新。

“轮换密钥”意味着更新或更改用于保护通信或访问的加密密钥，StrikeReady 的首席产品官 Anurag Gurtu解释道。这是一种标准的安全做法，旨在防止未授权访问，尤其是在发生安全事件后，Gurtu 说道。

Gurtu 表示：“如果 GitHub在收到漏洞警报后没有轮换他们的密钥，可能会导致对多个代码库的未授权访问。这种未授权访问可能会损害托管在上的代码的完整性和安全性。在这种情况下，轮换密钥是减轻风险、确保代码库和用户数据不受漏洞引发的潜在攻击的重大举措。”

Delinea 的首席安全科学家兼顾问 CISO Joseph Carson 解释道，轮换密钥就像轮换密码，但根据密钥的功能复杂度有所不同。Carson说，虽然密码通常用于身份验证，但密钥（有时被称为秘密）通常以加密密钥的形式存在，用于各种目的，例如加密、数字签名、密钥交换、哈希函数、身份验证、令牌、访问控制、安全通信和文件传输等。

Carson 表示：“密钥通常会定期轮换，因为在密钥的生命周期中，风险往往会增加。因此，对于许多 IT管理员和应用程序所有者来说，轮换密钥是一种常见的做法。使用秘密或密钥管理解决方案可以简化密钥轮换流程，以确保更高水平的安全性和一致性。”

Bambenek Consulting 的总裁 John Bambenek 说道，对于无法进行人工身份验证的自动化流程和 API，安全团队使用密钥 —
实质上是长密码。如果这些密钥被泄露，攻击者可以做任何该密钥允许的事情。

Bambenek 表示：“由于这些是自动化流程，因此 MFA不是选项，通常没有人员被通知这种身份验证的发生。如果这一点没有及时发现，假设许多代码库可能会被恶意提交。“考虑到 GitHub上存在大量共享库，我们可能会面临大量数字垃圾场，因为这些恶意提交可能会在依赖于这些共享代码库的无数组织之间传播。”

相关链接 : – – [