تحديث أمني جديد من GitHub: حماية سلسلة التوريد عبر منع هجمات “Pwn Request”

في خطوة تعكس تصاعد الاهتمام بأمن سلاسل التوريد البرمجية، أعلنت منصة GitHub عن تحديث جوهري لأداة actions/checkout الشهيرة، يهدف إلى التصدي لأنماط الهجمات المعروفة باسم Pwn Request، والتي تستغل ثغرات في آلية تشغيل pull_request_target workflow لتشغيل شيفرات خبيثة بامتيازات كاملة داخل بيئات التطوير.

تحديث جوهري في Actions/checkout

اعتباراً من 18 يونيو 2026، أصبح الإصدار الجديد v7 من أداة actions/checkout يرفض بشكل افتراضي أنماط الاستدعاءات المشبوهة المرتبطة بـ fork pull requests عند استخدام pull_request_target أو workflow_run. هذا التغيير سيُعمم على جميع الإصدارات المدعومة بحلول 16 يوليو 2026، ما يعني أن أي محاولة لاستدعاء شيفرة من مستودع غير موثوق ستفشل تلقائياً ما لم يقم مطورو سير العمل بتفعيل خيار allow-unsafe-pr-checkout بشكل صريح.

خطورة ثغرة pull_request_target

آلية pull_request_target صُممت لتسهيل الأتمتة الموثوقة حول طلبات الدمج، مثل إضافة التعليقات أو الوسوم، لكنها تعمل في سياق الفرع الأساسي للمستودع، ما يمنحها وصولاً إلى GITHUB_TOKEN بامتيازات قراءة وكتابة، إضافة إلى الأسرار المخزنة. عند دمجها مع actions/checkout، يمكن أن تتحول إلى بوابة خطيرة تسمح بتنفيذ شيفرات غير موثوقة من مستودعات فرعية، وهو ما يفتح الباب أمام سرقة الرموز والأسرار الحساسة.

خلفية الهجمات الأخيرة

خلال الأشهر الماضية، استغل عدد من المهاجمين هذه الثغرة في حملات واسعة النطاق، أبرزها حملة s1ngularity التي استهدفت نظام البناء Nx، إضافة إلى اختراق مشاريع مفتوحة المصدر مثل PostHog وTanStack وحزمة Emacs kubernetes-el/kubernetes-el. هذه الحوادث أكدت أن ثغرة pull_request_target لم تعد مجرد نظرية، بل أداة عملية في ترسانة الهجمات على سلاسل التوريد البرمجية.

توصيات للمطورين والمؤسسات

رغم أن التحديث الأخير يمثل حاجزاً وقائياً مهماً، إلا أن خبراء الأمن يؤكدون أنه ليس حلاً كاملاً. إذ تبقى هناك مخاطر عند تشغيل أي شيفرة غير موثوقة في أحداث ذات امتيازات عالية. لذلك ينصح المطورون بـ:

  • استخدام pull_request بدلاً من pull_request_target عندما لا تكون هناك حاجة لامتيازات إضافية.
  • تقييد الصلاحيات الممنوحة لسير العمل، خصوصاً تلك المتعلقة بالأسرار أو صلاحيات الكتابة.
  • مراجعة مدخلات المستخدم بعناية لتجنب تنفيذ شيفرات غير موثوقة.
  • إدراك أن الحماية الجديدة تغطي فقط عمليات checkout عبر الأداة الرسمية، بينما تبقى طرق أخرى مثل git أو GitHub CLI خارج نطاق هذا التغيير.

بهذا التحديث، تؤكد GitHub – التابعة لشركة مايكروسوفت – أنها تضع أمن المطورين وسلاسل التوريد في صدارة أولوياتها، لكنها في الوقت ذاته تشدد على أن المسؤولية النهائية تقع على عاتق المؤسسات والمطورين لضبط بيئاتهم ومراجعة سير العمل بشكل دوري.

محمد وهبى
محمد وهبى
المقالات: 1240

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.