谷歌的Project Zero团队努力于寻觅公司本身软件以及其他公司开发的软件中的安全破绽。其办法是私下向供应商报告缺陷,并在地下披露前给他们90天的时间来修复。依据状况的严重水平,这一期限能够会依据该集团的标准准绳被延伸或拉近。
11月初,谷歌地下披露了GitHub中的一个 "高"严重性安全成绩,此前后者无法在104天内修复--超过了标准时限。不过,GitHub用户如今会很快乐地知道,这个安全破绽终于被填补了。
该安全破绽源自GitHub Actions中的任务流命令,它作为执举举措和Action Runner之间的通讯渠道极易遭到注入攻击。谷歌Project Zero的Felix Wilhelm最后报告了这个安全破绽,他表示任务流命令的完成方式 "从基本下去说是不安全的"。短期的处置方案是废止命令语法,而长期的修复办法是将任务流命令转移到一些外链通道,但这也很顺手,由于这会破坏依赖性代码。在GitHub未能在规则的104天内修复该成绩后,谷歌于11月2日地下披露了该成绩。
显然,这给该公司带来了一定的压力,目前该破绽曾经被修复。补丁阐清楚示,该修复办法与Wilhelm提出的短期处置方案分歧。
停用add-path和set-env runner命令(#779)
更新了dotnet安装脚本(#779)
几天前,GitHub曾经修复了这个成绩,但如今曾经被谷歌Project Zero团队验证,并在成绩库中标记。这样一来,安全团队报告的地下成绩清单就增加到了9个。其中包括微软、高通和苹果等众多厂商开发的软件。独一存在于谷歌自家软件中的开放成绩与Android上的指针泄露有关,但这一 "中等"严重性缺陷的形状自2016年9月以来不断处于开放形状。
【编辑引荐】
看了这么多代码,谈一谈代码作风!
鲲鹏凌云 智耀长安 | 陕西鲲鹏生态创新中心喊企业开发者“上课啦”!
GitHub CEO霸气回应:「千年数字版权法」不适用,把youtube-dl还给开发者!
致命错误!Python开发者的7个崩溃瞬间
代码不止|想制胜海外市场?Google 来帮你!
(责任编辑:admin)