Проверка Homebrew, важного менеджера пакетов для macOS и Linux, выявила некритические проблемы безопасности, которые могут позволить неожиданное выполнение кода и компрометацию рабочих процессов CI/CD.
Ключевые выводы включали уязвимости в brew CLI, такие как выход из песочницы и повышение привилегий, а также проблемы в рабочих процессах CI/CD, такие как уязвимости инъекций оболочки.
«Аудит, спонсируемый Open Tech Fund, был направлен на обеспечение безопасности критической интернет-инфраструктуры, подчеркивая важность безопасности Homebrew, учитывая его широкое использование.»
Trail of Bits провела всесторонний аудит безопасности Homebrew, популярного менеджера пакетов с открытым исходным кодом для macOS, выявив несколько проблем безопасности и областей для улучшения.
Проверка вызвала обсуждения о присущих проблемах безопасности цепочки поставок в платформах управления пакетами с открытым исходным кодом, подчеркивая необходимость улучшения процессов проверки и более быстрых реакций на ненадежные источники.
Результаты аудита привели к повышенному интересу к альтернативным менеджерам пакетов, таким как Nix, который некоторые пользователи считают более безопасным и гибким, несмотря на его сложность.
Docker-OSX позволяет пользователям запускать macOS в контейнере Docker с почти нативной производительностью, поддерживая версии от High Sierra до Sonoma.
Проект поддерживается Sick.Codes и включает такие функции, как пересылка X11, исследование безопасности iMessage и проброс USB для iPhone.
Этот инструмент особенно полезен для проведения исследований в области безопасности на macOS с использованием как Linux, так и Windows сред.
Запуск macOS в QEMU внутри Docker возможен, но имеет ограничения, особенно с ускорением GPU, так как более новые графические процессоры Intel и NVIDIA не поддерживаются.
Docker-OSX позволяет запускать виртуальные машины macOS в Docker, что полезно для сборок iOS с использованием таких инструментов, как Unity или React Native.
«Распространение образов macOS может нарушать Лицензионное соглашение конечного пользователя (EULA) Apple, которое ограничивает использование macOS аппаратным обеспечением Apple, однако этот проект популярен для разработки и тестирования.»