Agenci federalni w USA badają naruszenie bezpieczeństwa w firmie Codecov, zajmującej się audytem oprogramowania - poinformował Reuters. W swoim oświadczeniu, CEO Codecov Jerrod Engelberg przyznał, że doszło do ataku hakerów, wskazując, że niepowołane osoby uzyskały dostęp do skryptu Bash Uploader i zmodyfikowały go bez zgody firmy. Wśród 29 tys. firm korzystających z usług Codecov są m.in. takie marki jak The Washington Post, GoDaddy, Tile oraz Procter & Gamble Co.

- Nasze dochodzenie wykazało, że od 31 stycznia 2021 r. miały miejsce okresowe, nieautoryzowane zmiany naszego skryptu Bash Uploader dokonane przez stronę trzecią, co umożliwiło im potencjalnie eksportowanie informacji przechowywanych w środowiskach ciągłej integracji (CI) naszych użytkowników – napisał w oświadczeniu CEO Codecov. - Ta informacja została następnie wysłana na serwer innej firmy poza infrastrukturą Codecov.

Według Codecov, modyfikacje skryptu Bash Uploader mogły potencjalnie wpłynąć m.in. na: wszelkie poświadczenia, tokeny lub klucze do runnera CI, które byłyby dostępne po wykonaniu skryptu Bash Uploader; usługi, magazyny danych i kody aplikacji, do których można uzyskać dostęp za pomocą tych poświadczeń, tokenów lub kluczy; zdalne informacje git (adres URL repozytorium pochodzenia) repozytoriów używających Bash Uploaders do przesłania pokrycia do Codecov w CI.

Zdaniem ekspertów z firmy Check Point, włamanie do Codecov (po niedawnym ataku SolarWinds Sunburst) to kolejny atak na łańcuch dostaw, który ujawnia luki w zabezpieczeniach oraz wyzwania bezpieczeństwa związane z cyklami błyskawicznego wydania, często spotykane podczas tworzenia nowoczesnych aplikacji.

Organizacje muszą mieć świadomość, że korzystanie z publicznych repozytoriów kodu i platform programistycznych, choć jest konieczne, niesie ze sobą nieodłączne ryzyko. W wielu przypadkach aplikacje są opracowywane albo bez odpowiednich kontroli bezpieczeństwa, albo w najlepszym przypadku z zabezpieczeniem włączanym dopiero na końcu cyklu rozwojowego – wyjaśniają specjaliści firmy Check Point.

Ze względu na najlepszą praktykę w zakresie bezpieczeństwa firma Check Point zaleca wszystkim swoim klientom zintegrowanie wykorzystania zautomatyzowanych narzędzi bezpieczeństwa z cyklem rozwoju aplikacji. Dzięki temu bezpieczeństwo staje się płynną i bezproblemową częścią procesu tworzenia oprogramowania oraz zapewnia dokładną identyfikację i naprawę wszelkich luk i zagrożeń.


Materiał zewnętrzny

Biznesmen w ciągniku? Miejsce rolników w polskim biznesie
Biznesmen w ciągniku? Miejsce rolników w polskim biznesie

Zobacz również

PayPo debiutuje w Rumunii
PayPo debiutuje w Rumunii
Czy złoty będzie się osłabiał?
Czy złoty będzie się osłabiał?