Escrito por Geovana & Guisso
Curiosidade do mês#
Em setembro de 2017, a Equifax, uma das principais agências de crédito dos EUA, sofreu um grave incidente de segurança. Cerca de 143 milhões de americanos tiveram seus dados comprometidos devido a uma vulnerabilidade no software Apache Struts, utilizado pela empresa. Isso ressaltou a importância da segurança de aplicativos e a necessidade de manter o software atualizado para proteger informações sensíveis. O incidente também influenciou as regulamentações de proteção de dados nos EUA.
Como as secrets vazam em pipelines de CI/CD#
O texto explora vazamentos de secrets em pipelines CI/CD, destacando a importância de proteger informações sensíveis durante o desenvolvimento e a entrega de software para evitar brechas de segurança e proteger a integridade do código. São oferecidas práticas e ferramentas para mitigar esse risco.
Prevenindo secrets no código#
O artigo aborda a prevenção de vazamento de secrets no código, enfatizando a importância de identificar e proteger informações sensíveis no desenvolvimento de software. Também menciona uma palestra ocorrida no BSidesSF 2023 sobre esse assunto.
4.500 dos 1 milhão de principais sites vazaram código-fonte e secrets#
A pesquisa identificou milhares de diretórios .git expostos em sites do Alexa Top 1 Million. Isso expõe códigos e secrets, incluindo centenas de chaves de API válidas. Chaves AWS e GitHub foram as credenciais mais frequentemente vazadas. Além disso, foi identificada uma grande proporção de credenciais do GitHub com privilégios de administrador. Um site chegou a expor a chave privada do certificado SSL. A pesquisa também destacou práticas para evitar a exposição de dados em diretórios Git.
DEF CON 31 - The GitHub Actions Worm - Asi Greenholts#
Na palestra realizada na DEF CON, o palestrante explica como um invasor pode explorar o ecossistema de Actions personalizadas do GitHub, infectando uma Action para disseminar código malicioso em outras Actions e projetos. A apresentação termina com uma demonstração de um malware de prova de conceito, destacando a importância de defesas contra esse tipo de ataque.
Assinatura de URLs no GCP: conveniência x segurança#
É abordado a criação de URLs assinados no Google Cloud Platform (GCP) usando chaves de conta de serviço, explicando dois métodos: a assinatura com a chave da conta de serviço e o método signBlob IAM. Destaca-se a importância de considerar os riscos de segurança, especialmente no uso do método signBlob, que pode levar a escalonamento de privilégios se a conta de serviço for comprometida.
Cherrybomb#
Cherrybomb é uma ferramenta CLI que previne a implementação incorreta de código no início do desenvolvimento. Ele valida e testa APIs usando arquivos OpenAPI para garantir o funcionamento adequado e a conformidade com as regras da OEA. Além disso, identifica problemas e vulnerabilidades comuns, fornecendo relatórios detalhados para facilitar a correção. O objetivo é reduzir erros de segurança e assegurar o funcionamento correto da API.