聲明：該文章由作者（婭米）發(fā)表，轉(zhuǎn)載此文章須經(jīng)作者同意并請(qǐng)附上出處(0XUCN)及本頁鏈接。。

原文《GitHub 終于修復(fù)了 Google Project Zero 報(bào)告的高危安全漏洞》

谷歌的Project Zero團(tuán)隊(duì)致力于尋找公司自身軟件以及其他公司開發(fā)的軟件中的安全漏洞。其方法是私下向供應(yīng)商報(bào)告缺陷，并在公開披露前給他們90天的時(shí)間來修復(fù)。根據(jù)情況的嚴(yán)重程度，這一期限可能會(huì)根據(jù)該集團(tuán)的標(biāo)準(zhǔn)準(zhǔn)則被延長或拉近。

11月初，谷歌公開披露了GitHub中的一個(gè) “高”嚴(yán)重性安全問題，此前后者無法在104天內(nèi)修復(fù)–超過了標(biāo)準(zhǔn)時(shí)限。不過，GitHub用戶現(xiàn)在會(huì)很高興地知道，這個(gè)安全漏洞終于被填補(bǔ)了。

該安全漏洞源自GitHub Actions中的工作流命令，它作為執(zhí)行動(dòng)作和Action Runner之間的通信渠道極易受到注入攻擊。谷歌Project Zero的Felix Wilhelm最初報(bào)告了這個(gè)安全漏洞，他表示工作流命令的實(shí)現(xiàn)方式 “從根本上來說是不安全的”。短期的解決方案是廢止命令語法，而長期的修復(fù)方法是將工作流命令轉(zhuǎn)移到一些外鏈通道，但這也很棘手，因?yàn)檫@會(huì)破壞依賴性代碼。在GitHub未能在規(guī)定的104天內(nèi)修復(fù)該問題后，谷歌于11月2日公開披露了該問題。

顯然，這給該公司帶來了一定的壓力，目前該漏洞已經(jīng)被修復(fù)。補(bǔ)丁說明顯示，該修復(fù)方法與Wilhelm提出的短期解決方案一致。

停用add-path和set-env runner命令(#779)

更新了dotnet安裝腳本(#779)

幾天前，GitHub已經(jīng)修復(fù)了這個(gè)問題，但現(xiàn)在已經(jīng)被谷歌Project Zero團(tuán)隊(duì)驗(yàn)證，并在問題庫中標(biāo)記。這樣一來，安全團(tuán)隊(duì)報(bào)告的公開問題清單就減少到了9個(gè)。其中包括微軟、高通和蘋果等眾多廠商開發(fā)的軟件。唯一存在于谷歌自家軟件中的開放問題與Android上的指針泄露有關(guān)，但這一 “中等”嚴(yán)重性缺陷的狀態(tài)自2016年9月以來一直處于開放狀態(tài)。

（消息及封面來源：cnBeta）

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場：https://www.ijiandao.com/