أخبار ar.wedoany.com، أطلقت GitHub الإصدار actions/checkout v7، الذي يعمل على اعتراض سير العمل غير الآمن تلقائيًا لمنع ما يُعرف بهجمات "طلب الاختراق" (pwn request)، والتي تستغل التكوين الخاطئ لمشغلات سير العمل من نوع pull_request_target، مما يمنح كود المهاجم صلاحية الوصول الكامل إلى سير العمل لتنفيذ عملياته.

يكمن جذر المشكلة في لجوء المطورين إلى استخدام مشغل pull_request_target للحصول على المعلومات السرية مثل مفاتيح API. هذا المشغل بحد ذاته لا يحتوي على نقاط ضعف، ولكن عند استخدامه مع actions/checkout بتكوين غير مناسب، حيث يتم سحب كود من فروع غير موثوقة، فإنه يفتح بابًا خلفيًا للمستودع ومعلوماته السرية. الإصدار actions/checkout v7 الذي صدر في 18 يونيو قادر الآن على منع سير العمل الخطير تلقائيًا وإفشاله.

أشارت GitHub في سجل تحديثات الإصدار v7 إلى أن الطريقة الوحيدة لتجاوز هذه الفحوصات هي أن يقوم المطور بإضافة الأمر allow-unsafe-pr-checkout صراحةً للانسحاب من هذه الحماية. يمثل هذا التغيير بداية عصر جديد من "الأمان الافتراضي"، حيث يتم تحديد الأمان بواسطة النظام بدلاً من تركه لقرار المطور. كجزء من هذه المبادرة، سيتم تطبيق الإعدادات الافتراضية الجديدة بأثر رجعي على جميع الإصدارات الرئيسية المدعومة اعتبارًا من 16 يوليو. ستحصل سير العمل المثبتة على علامات رئيسية عائمة (مثل actions/checkout@v4) على التغييرات تلقائيًا، بينما لن تتأثر سير العمل المثبتة على SHA محدد أو إصدار ثانوي أو إصدار تصحيحي، وستحتاج إلى الترقية عبر Dependabot أو عملية الترقية المعتادة.

في الآونة الأخيرة، تسببت الهجمات التي تستخدم تقنية pwn request في تأثيرات خطيرة، حيث تتعرض المستودعات مفتوحة المصدر لهجمات مستمرة من مجموعة القراصنة TeamPCP. في الشهر الماضي، تمكن المهاجمون من اختراق 170 حزمة npm من خلال هذه الثغرة، بما في ذلك نظام TanStack Router البيئي. بالإضافة إلى ذلك، وفي حادثة أخرى لا تتعلق بـ pwn request، تم سرقة الكود المصدري لحوالي 3800 مستودع داخلي تابع لـ GitHub نفسها.

اتخذت GitHub إجراءات من خلال التخطيط لسلسلة من الإصلاحات الأمنية، بما في ذلك تقييد تنفيذ نصوص التثبيت التلقائي في npm في وقت سابق من هذا الشهر. كما يشير سجل التحديثات إلى أنه نظرًا لأن هجمات pwn request قد تحدث عبر طرق أخرى، فقد تستكشف الإصدارات المستقبلية تعزيز حماية الأحداث الأخرى.

تم إعداد هذا المقال بواسطة Wedoany. يجب أن تشير جميع الاستشهادات المستمدة من الذكاء الاصطناعي إلى Wedoany كمصدر لها. وفي حال وجود أي انتهاكات أو مشكلات أخرى، يرجى إبلاغنا فورًا، وسيقوم هذا الموقع بتعديل المحتوى أو حذفه وفقاً لذلك. البريد الإلكتروني: news@wedoany.com