日前,由奇安信技术研究院、清华大学和特拉华大学合作完成的论文被国际顶级学术会议IEEE S&P 2023(44th IEEE Symposium on Security and Privacy)录用。论文题目是《Continuous Intrusion: Characterizing the Security of Continuous Integration Services》,奇安信技术研究院为第一作者单位。这是继《Investigating Package Related Security Threats in Software Registries》之后,IEEE S&P 2023录用的第二篇奇安信技术研究院研究论文。IEEE S&P是网络与信息安全领域顶级的学术会议,2023年是第44届,将在美国旧金山举办。
论文对当前7个主流的CI系统进行了深入分析,包括三个代码托管平台自带的CI服务:GitHub Actions, GitLab CI, Bitbucket Pipelines,以及4个独立的CI服务:CircleCI, TravisCI, TeamCity, Jenkins。通过对这些CI服务与主流代码托管平台(如GitHub, GitLab, Bitbucket)以及主流第三方服务(如亚马逊AWS)的组合使用过程的详细分析,论文发现了4大类与Token泄露相关的安全问题。利用本文发现的安全问题,攻击者可以通过执行CI任务等方式实现权限提升、恶意代码注入等多种隐蔽攻击。通过对GitHub上169万个公开仓库的大规模测量分析,我们发现大量受影响的项目,包括Google, Microsoft, NVIDIA, Apache等知名组织的项目。论文工作再次表明,软件供应链安全问题普遍存在,并且影响巨大,亟需引起软件开发过程各个环节参与者的关注和重视。
该项研究工作是奇安信技术研究院“天问”软件供应链安全分析平台相关研究的一部分,平台网址:https://tianwen.qianxin.com/
星图实验室隶属于奇安信技术研究院,专注于软件与系统安全的核心技术研究与系统平台研发,对外输出“天穹”软件动态分析沙箱、“天问”软件供应链分析平台、“天象”软件漏洞挖掘系统等核心能力和工具系统。
我们目前正在招聘,工作地点覆盖北京、上海、成都等城市,详情请参见:
https://research.qianxin.com/recruitment/
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...