Киберэксперт: уязвимость в GitHub может обнулить безопасность миллионов проектов

28.03.2025 08:16

Исследователи обнаружили уязвимость (CodeQLEAKED) в инструменте статического анализа кода CodeQL, используемом на GitHub — крупнейшем веб-сервисе для хостинга IT-проектов и их совместной разработки.

Ситуация усугубляется наличием готового скрипта для эксплуатации уязвимости, что делает её доступной даже для злоумышленников с невысокой квалификацией. Александр Катасонов, инженер-аналитик лаборатории развития и продвижения компетенций кибербезопасности компании «Газинформсервис», отмечает, что это подрывает все три основополагающих принципа информационной безопасности.

«В сфере информационной безопасности выделяют три ключевых принципа: конфиденциальность, целостность и доступность, — объясняет Катасонов. — Обнаруженная уязвимость ставит под угрозу все эти аспекты. Учитывая популярность GitHub, эксплуатация подобной уязвимости может стать одной из самых серьёзных угроз для множества IT-компаний и пользователей. Наличие готового скрипта для использования этой уязвимости значительно увеличивает её опасность».

Многие компании разворачивают подобные сервисы в своей внутренней инфраструктуре для анализа кода на этапе разработки. Однако при интеграции таких решений в случае уязвимости появляется брешь в системе безопасности. Для защиты интеллектуальной собственности компаниям важно внедрять цикл безопасной разработки.

«Эксплуатация данной уязвимости позволяет злоумышленникам получить доступ к конфиденциальным данным о разрабатываемом коде. Чтобы предотвратить такие инциденты, необходимо использовать комплексные средства защиты информации. Тем не менее современные злоумышленники находят всё более изощрённые способы обхода этих мер. В таких случаях необходимо использовать защищённые средства безопасной разработки, реализованные в SafeERP. В данном продукте имеются различные модули, которые предоставляют автоматизированную функциональность для анализа и обеспечения безопасности кода. Реализуются синтаксические и семантические разборы кода, что обеспечивает высокий уровень защищённости, полный контроль и безопасность при разработке», — отмечает киберэксперт.

Читайте на 123ru.net

Частные объявления в Вашем городе, в Вашем регионе и в России

Smi24.net — ежеминутные новости с ежедневным архивом. Только у нас — все главные новости дня без политической цензуры. "123 Новости" — абсолютно все точки зрения, трезвая аналитика, цивилизованные споры и обсуждения без взаимных обвинений и оскорблений. Помните, что не у всех точка зрения совпадает с Вашей. Уважайте мнение других, даже если Вы отстаиваете свой взгляд и свою позицию. Smi24.net — облегчённая версия старейшего обозревателя новостей 123ru.net. Мы не навязываем Вам своё видение, мы даём Вам срез событий дня без цензуры и без купюр. Новости, какие они есть —онлайн с поминутным архивом по всем городам и регионам России, Украины, Белоруссии и Абхазии. Smi24.net — живые новости в живом эфире! Быстрый поиск от Smi24.net — это не только возможность первым узнать, но и преимущество сообщить срочные новости мгновенно на любом языке мира и быть услышанным тут же. В любую минуту Вы можете добавить свою новость - здесь.