近日,由奇安信技术研究院、清华大学和特拉华大学合作完成的论文被国际顶级学术会议IEEE S&P‘24(45th IEEE Symposium on Security and Privacy)录用。
论文题目是《More Haste, Less Speed: Cache Related Security Threats in Continuous Integration Services》,这也是两年来奇安信技术研究院在IEEE S&P学术会议上发表的第三篇软件供应链安全领域的研究论文。
持续集成(CI/CD)是一种自动化的软件开发实践,用于代码构建、集成和测试。持续集成的效率对开发者来说非常重要,而缓存(Cache)是提高持续集成任务执行效率的一种有效方式。过去的研究主要关注持续集成过程的安全性,但对于与缓存相关的安全威胁却关注较少。
论文系统地研究了持续集成(CI)平台中与缓存相关的安全威胁。CI平台使用缓存(如通过存储和重用依赖包)来加快CI任务执行速度。然而,跨信任边界(如跨仓库、跨分支、跨任务)共享缓存对象可能会暴露新的攻击面。本文系统地调查了七个主流CI平台(GitHub Actions, GitLab CI, Bitbucket Pipelines, CircleCI, TravisCI, TeamCity, Jenkins)中潜在的安全威胁,并发现了缓存共享和继承策略中的隔离问题和安全风险。这些机制中的漏洞可能导致缓存数据污染和敏感数据泄露。在此基础上,本文进一步揭示了四种攻击向量,允许攻击者在CI平台中执行恶意操作,如向缓存中注入恶意代码或窃取敏感数据。
论文通过对开源项目存储库进行大规模测量,评估了上述威胁的潜在影响。评估结果表明,许多广受欢迎的项目受到上述漏洞的潜在威胁。例如,某下载量超过1亿次的知名数据库管理软件,其CI缓存面临泄漏软件签名密钥的风险。
该项研究工作是奇安信技术研究院“天问”软件供应链安全分析平台相关研究的一部分,平台网址:https://tianwen.qianxin.com/