Eine geheime Begegnung in der Software-Lieferkette

Eines der Risiken der Software-Lieferkette ist die Offenlegung von Geheimnissen. Überall in der Software-Lieferkette lauern Geheimnisse. Entwickler und die CI\CD-Pipelines müssen Geheimnisse verwenden, um auf den SCM, die Pipeline, die Artefaktregister, die Cloud-Umgebungen und externe Dienste zuzugreifen. Und wenn es überall Geheimnisse gibt, ist es eine Frage der Zeit, bis sie ans Licht kommen. 

Dieses Risiko ist gut erkannt und viele Software-Lieferketten-Frameworks begegnen ihm, indem sie das Scannen von Geheimnissen und den Selbstablauf von Geheimnissen erfordern.

Was könnte also schiefgehen, wenn Sie als Sicherheitsexperte diese Leitplanken eingerichtet haben? 

Als ich diese Woche nach geheimen Scan-Tools recherchierte, stieß ich auf eine Antwort. Diese Antwort ist einfach: Da Geheimscanner nach Mustern von Geheimnissen suchen, kann die Erkennung fehlschlagen, wenn sich das Geheimformat ändert. Und genau das geschah, als GitHub eine neue Sicherheitsfunktion einführte – die feinkörnige Token. Diese Beta-Funktion ist eine von GitHubs Möglichkeiten, das Risiko der Weitergabe von Geheimnissen zu verringern. Durch die Einschränkung der Berechtigungen der persönlichen Zugriffstoken werden auch die Risiken einer Kompromittierung dieser Geheimnisse begrenzt.

Es stellt sich heraus, dass das Format der neuen Token etwas anders ist, während das Format der alten Token etwa so war:

ghp_123456789012345678901234567890123456


Das neue Token-Format sieht wie folgt aus:

github_pat_123456789012345678901234567890123456789012345678901234567890…


Sowohl das Präfix als auch die Länge des Geheimnisses sind unterschiedlich. 

Und tatsächlich können einige geheime Scanner das neue Format nicht erkennen;

Zum Experimentieren habe ich ein Repo mit einer Docker-Datei mit einem Geheimnis und einem Workflow erstellt, der die Trivy-Aktion ausführt. So sieht das Dockerfile zu Beginn des Experiments aus:

Es folgt ein Schnappschuss des GitHub Secret Scanners, der das neu formatierte Geheimnis erkennt:

Wie wir sehen können, erkennt der Secret-Scanner von GitHub das Secret, im Abschnitt „Code-Scanning“ werden jedoch keine Warnungen angezeigt.

Um zu überprüfen, ob das Tool richtig eingestellt ist, füge ich jetzt ein klassisches Geheimnis zur Docker-Datei hinzu (siehe unten) und führe den Scan erneut aus. Jetzt erhalten wir eine Code-Scan-Benachrichtigung (nur beim klassischen Geheimnis!)

Der Scanner von Github hingegen erkennt nun zwei Geheimnisse:

Ich habe ein Sicherheitsproblem für Trivy eröffnet; Das Team von Trivy antwortete, dass es sich hierbei weder um eine Schwachstelle noch um ein Sicherheitsproblem handele. Es blieb nur noch, ein Problem zu eröffnen. 

Dieses Experiment wirft viele Bedenken auf;

• Warum sollte ein GitHub-Benutzer vermuten, dass das Token-Format aufgrund einer neuen Funktion geändert wird? 
• Warum sollte sich ein GitHub-Benutzer angesichts der Tatsache, dass Geheimnisse wie zufällige Zeichenfolgen aussehen sollen, überhaupt um das Format der Geheimnisse kümmern?
• Sollte GitHub dafür verantwortlich sein, seine Kunden über eine solche Änderung auf dem Laufenden zu halten? 
• Ist dieser Fehler bei der Erkennung von Geheimnissen eine Schwachstelle der feinkörnigen Geheimnisse von GitHub, eine Schwachstelle von Trivy oder, wie Aqua Security es sieht, überhaupt keine Schwachstelle? 
• Sollte Aqua Security, das Unternehmen hinter Trivy, für die Aktualisierung verantwortlich sein? 
• Da es sich bei Trivy um ein Open-Source-Projekt handelt, das so bereitgestellt wird, wie es ist, würde jemand haftbar gemacht werden, wenn Geheimnisse aus einer von Trivy geschützten Pipeline durchgesickert wären? Wer würde es sein? GitHub? Aqua-Sicherheit? Der Trivy-Benutzer? 
• Was lehrt uns dieses Experiment über das Vertrauen in Sicherheitstools, die zum Schutz von Software-Lieferketten installiert werden? 

Ich lasse diese Fragen offen.

Eines ist jedoch klar; Der Schutz der Software-Lieferkette ist kompliziert und wir brauchen eine hochprofessionelle Community, um dieser Aufgabe dauerhaft gerecht zu werden.

Dieser Beitrag wurde mitverfasst von Avi Waxman, Praktikant bei Scribe Security

Zusammenhängende Artikel

CISAs gemeinsame Form der sicheren Software-Selbstbescheinigung: Ein Wendepunkt für die Haftung

Im September 2022 veröffentlichte das US-amerikanische Amt für Verwaltung und Haushalt (OMB) ein wegweisendes Memo über die Schritte, die erforderlich sind, um Ihre Software-Lieferkette auf ein für die US-Bundesregierung akzeptables Maß zu sichern. Jedes Unternehmen, das mit der Regierung und einer Bundesbehörde, die Software herstellt, Geschäfte machen möchte, muss […]

Wie sicher sind Sie mit dem, was wirklich in Ihrer CI/CD-Pipeline passiert? Die Elemente, die Sie sichern sollten, und wie

CI/CD-Pipelines sind bekanntermaßen undurchsichtig, was genau darin geschieht. Selbst wenn Sie derjenige sind, der die YAML-Konfigurationsdatei (die Pipeline-Anweisungsliste) geschrieben hat, wie können Sie dann sicher sein, dass alles genau wie beschrieben abläuft? Schlimmer noch, die meisten Pipelines sind völlig vergänglich, sodass selbst wenn etwas Schlimmes passiert, keine […]

Der Aufstieg des SBOM – Unsere Meinung zum Innovation Insight-Bericht von Gartner für SBOMs

Durch den zunehmenden Einsatz von Komponenten Dritter und langwierigen Software-Lieferketten können Angreifer mittlerweile viele Softwarepakete gleichzeitig über einen einzigen Exploit kompromittieren. Als Reaktion auf diesen neuen Angriffsvektor planen immer mehr Entwicklungs- und DevOps-Teams sowie Sicherheitsexperten die Einführung einer Software Bill of Materials (SBOM). Die Software-Lieferkette […]