近日，據外媒報道，派拓網絡（Palo Alto Networks）旗下的安全部門 Unit 42 發布了一份報告，揭示了托管在 GitHub 上的眾多熱門開源項目存在身份認證授權令牌（Auth tokens）泄露的嚴重問題。此問題可能使這些項目面臨數據被盜、代碼篡改及植入惡意軟件的風險。

Unit 42 報告中指出，包括谷歌、微軟和 AWS 等知名公司的多個開源項目，在使用 GitHub Actions 自動化 CI / CD 工作流時，存在身份驗證令牌泄露的潛在風險。GitHub Actions 是一個常用的自動化工具，可以幫助開發者在云端運行各種開發任務。然而，默認配置和錯誤設置帶來的安全漏洞，可能導致惡意行為者利用泄露的令牌訪問私有存儲庫、竊取或篡改源代碼。

報告特別提到，問題的根源之一是 GitHub 的“actions/checkout”操作。默認情況下，該操作會將 GitHub tokens 保存在本地的 .git 目錄中。然而，如果開發者將完整的簽出目錄上傳到公共存儲庫，這些 .git 文件夾中的 GitHub tokens 就可能被無意間暴露出來。這為惡意行為者提供了一個可利用的機會，使其能夠輕易獲得訪問權限并造成潛在的安全威脅。

Unit 42 的專家強調，默認設置和用戶配置錯誤是造成這些問題的主要原因。同時，缺乏嚴格的安全檢查也讓這些項目暴露在風險之中。為了減少這些風險，開發者應該定期檢查并更新其安全配置，尤其是在使用 CI / CD 工具時。此外，增強對敏感信息的保護意識，避免將包括 .git 目錄在內的敏感文件上傳到公共存儲庫，也是防止令牌泄露的重要措施。