此篇文章发布距今已超过340天,您需要注意文章的内容或图片是否可用!
近日,由奇安信技术研究院、清华大学和特拉华大学合作完成的论文被国际顶级学术会议IEEE S&P‘24(45th IEEE Symposium on Security and Privacy)录用。 论文题目是《More Haste, Less Speed: Cache Related Security Threats in Continuous Integration Services》,这也是两年来奇安信技术研究院在IEEE S&P学术会议上发表的第三篇软件供应链安全领域的研究论文。 持续集成(CI/CD)是一种自动化的软件开发实践,用于代码构建、集成和测试。持续集成的效率对开发者来说非常重要,而缓存(Cache)是提高持续集成任务执行效率的一种有效方式。过去的研究主要关注持续集成过程的安全性,但对于与缓存相关的安全威胁却关注较少。 论文系统地研究了持续集成(CI)平台中与缓存相关的安全威胁。CI平台使用缓存(如通过存储和重用依赖包)来加快CI任务执行速度。然而,跨信任边界(如跨仓库、跨分支、跨任务)共享缓存对象可能会暴露新的攻击面。本文系统地调查了七个主流CI平台(GitHub Actions, GitLab CI, Bitbucket Pipelines, CircleCI, TravisCI, TeamCity, Jenkins)中潜在的安全威胁,并发现了缓存共享和继承策略中的隔离问题和安全风险。这些机制中的漏洞可能导致缓存数据污染和敏感数据泄露。在此基础上,本文进一步揭示了四种攻击向量,允许攻击者在CI平台中执行恶意操作,如向缓存中注入恶意代码或窃取敏感数据。 论文通过对开源项目存储库进行大规模测量,评估了上述威胁的潜在影响。评估结果表明,许多广受欢迎的项目受到上述漏洞的潜在威胁。例如,某下载量超过1亿次的知名数据库管理软件,其CI缓存面临泄漏软件签名密钥的风险。 该项研究工作是奇安信技术研究院“天问”软件供应链安全分析平台相关研究的一部分,平台网址:https://tianwen.qianxin.com/星图实验室隶属于奇安信技术研究院,专注于软件与系统安全的核心技术研究与系统平台研发,对外输出“天穹”软件动态分析沙箱、“天问”软件供应链分析平台、“天象”软件漏洞挖掘系统等核心能力和工具系统。
我们目前正在招聘,工作地点覆盖北京、上海、成都等城市,详情请参见:
https://research.qianxin.com/recruitment/
点击“阅读原文”进入“天问”官网
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
https://ZhouSa.com
还没有评论,来说两句吧...