La security è un tema importante per tutto il ciclo di vita del software e delle nostre infrastrutture. Tuttavia, ciò che tendiamo ad ignorare è che anche le pipeline ormai sono scritte come codice e, pertanto, anch'esse sono a tutti gli effetti vulnerabili e soggette a potenziali attacchi. In quanto tali, vanno protette.
Analizziamo il seguente step di esempio:
- name: Check PR title run: | title="${{ github.event.pull_request.title }}" if [[ $title =~ ^ASPItalia ]]; then echo "Il titolo della PR inizia per 'ASPItalia'" else echo "Il titolo della PR non inizia per 'ASPItalia'" fi
Il codice sembra piuttosto banale: viene messo in esecuzione uno step che crea uno script bash da eseguire in linea. Come primo passaggio di questo script, viene assegnato alla variabile title il valore della proprietà title della pull request che ha scatenato l'esecuzione del workflow. Dopodichè, viene fatto un controllo per capire se la stringa inizia o no con la parola 'ASPItalia'.
Sebbene questo codice possa sembrare innocuo, non lo è affatto. Infatti, la sintassi "${{ }}", unita al fatto che lo script viene eseguito in linea, fa sì che il valore venga sostituito prima dell'esecuzione dello script, rendendoci vulnerabili a shell command injection. Se creiamo una PR con il titolo "a"; ls $GITHUB_WORKSPACE"", stiamo di fatto rimpiazzando il codice di prima con questo:
- name: Check PR title run: | title=""a"; ls $GITHUB_WORKSPACE""
In questo caso non viene eseguito niente di malevolo in quanto viene solo stampata la lista dei file disponibili nella root del repository, ma è evidente che può essere sfruttato per altri scopi. Se questo codice fosse eseguito in un self-hosted agent/runner, potremmo eliminare tutti i file del file-system o accedere a dati sensibili e farne una copia in una location remota.
Per fortuna la risoluzione è piuttosto semplice e, in questo caso, ci sono due valide opzioni. Seguendo la prima strada, possiamo creare una composite action, mentre l'alternativa è di passare il valore come variabile d'ambiente:
- name: Check PR title env: TITLE: ${{ github.event.pull_request.title }} run: | if [[ "$TITLE" =~ ^ASPItalia ]]; then echo "Il titolo della PR inizia per 'ASPItalia'" fi
In questo modo la valutazione del valore verrà fatto in-memory e assegnato alla variabile correttamente (di fatto, stiamo eliminando i doppi apici).
Commenti
Per inserire un commento, devi avere un account.
Fai il login e torna a questa pagina, oppure registrati alla nostra community.
Approfondimenti
Generare token per autenicarsi sulle API di GitHub
Configurare dependabot per aggiornare le dipendenze di terze parti con GitHub Actions
Code scanning e advanced security con Azure DevOps
Autenticarsi in modo sicuro su Azure tramite GitHub Actions
Migrare una service connection a workload identity federation in Azure DevOps
Eseguire query manipolando le liste contenute in un oggetto mappato verso una colonna JSON
Disabilitare automaticamente un workflow di GitHub (parte 2)
Eseguire attività pianificate con Azure Container Jobs
Utilizzare politiche di resiliency con Azure Container App
Eseguire una GroupBy per entity in Entity Framework
I più letti di oggi
- Impostare un elemento come ridimensionabile tramite CSS
- Proteggersi dagli attacchi di Open Redirect in ASP.NET Core MVC
- Personalizzare l'errore del rate limiting middleware in ASP.NET Core
- Accedere alla console di una Azure Container App
- Modificare i metadati nell'head dell'HTML di una Blazor Web App
- Gli oggetti CallOut di Expression Blend 4.0
- SQL Server 2005 December CTP
- Sfruttare le nuove tipologie di input di HTML5 con ASP.NET 4.0
- Upload da una pagina web con Dundas Upload