在我之前的文章中，我们讨论了Codecov漏洞及其对全球企业的潜在影响。作为背景，2021年4月15日，Codecov警告其客户从2021年1月31日开始，黑客在Bash Uploader脚本中引入了一个后门。黑客利用一个有缺陷的Docker映像创建过程，将Codecov的IP地址替换为他们的IP地址。利用此漏洞，他们可以将用户信息发布到服务器上。

5个关键问题，以评估第三方暴露在Codecov漏洞中的风险

大约有29000家公司使用了Codecov的开发工具，您的一些第三方也可能是。因此，您必须评估对第三方的潜在影响，以便减少公司数据的可能暴露。普华永道策划了一项5个问题的评估，通过确定您的第三方受到影响以及他们正在采取的行动，可以利用该评估快速确定对您的业务的任何潜在影响。

1）组织是否使用了以下上传程序？

（请选择所有适用的。）

帮助文本：指定上载器仅与Codecov相关。

a）用于GitHub的Codecov操作上载器b） Codecov圆环球c） Codecov比特上升步骤

2）如果是，组织是否受到最近Codecov供应链攻击的影响？

（请选择一个。）

帮助文本：

重大影响：网络攻击已导致系统或基础设施停止工作或变得不可用。数据的机密性或完整性已丢失。

高影响：服务可用性已定期丢失，台湾高防cdn，某些系统可能会定期停止。一些数据的机密性或完整性损失。

低影响：没有数据的机密性或完整性损失；对服务可用性的干扰最小或无干扰。

a）已产生重大影响。b） 这对我们的网络、IT运营或安全产品有很大的影响。c） 对我们的网络、IT运营或安全产品的影响程度较低。d） 网络攻击未对我们的网络、IT运营或安全产品造成任何影响。

3）在Codecov的指导下，组织是否采取了以下行动？

（请选择所有适用的选项）

帮助文本：

组织可以通过在组织的CI管道中运行env命令来确定CI环境中出现的密钥和令牌。

如果从该命令返回的任何内容被视为私有或敏感，Codecov建议使凭证失效并生成一个新凭证。

a）在使用Codecov的Bash上载程序之一的CI流程中，重新滚动位于环境变量中的所有凭证。b） 在使用Codecov的Bash上载程序之一的CI进程中，重新滚动位于环境变量中的所有令牌。c） 重新滚动使用Codecov Bash上传器的CI流程中环境变量中的所有密钥。

4）组织是否已将使用的Bash文件替换为Codecov提供的最新版本？

（请选择一个。）

帮助文本：

任何使用本地存储版本Bash上传器的组织都应检查以下版本：

curl-sm 0.5-d"$（git remote-v）

如果在本地存储的Bash上传程序中出现此情况，组织应立即使用来自的最新版本替换Bash文件https://codecov.io/bash

a）是的，我们已经用最新的Codecov更新了Bash文件版本b） 不,，我们尚未使用最新版本的Codecov更新我们的Bash文件

5）供应链攻击是否暴露了任何客户敏感信息？

（请选择所有适用的信息。）

帮助文本：

客户敏感信息定义为如果暴露在未经授权的环境中会对客户造成有害影响的任何材料派对。影响可能不同，但不限于声誉损害、经济处罚、收入损失或竞争优势损失。

a）是的，正在进行的调查正在确定风险敞口水平。b） 是的，调查已经完成，所有受影响方都知道。c） 否，客户敏感信息未受到影响。d） 目前我们无法确认。

免费指南：第三方事件响应计划的8个步骤

当您的一个关键供应商被违反时，准备好规定性事件响应计划对于防止贵公司成为下一个受害者至关重要。

流行有助于加快第三方事件响应

流行最近推出了第三方事件响应服务，该解决方案通过提供一个平台来集中管理供应商、进行有针对性的事件特定评估、评估已识别的风险并获取补救指南，WEB服务器防御ddos攻击，有助于快速识别和减轻供应链违规行为（如Codecov攻击）的影响。普锐斯将此解决方案作为一项托管服务提供，使您的团队能够卸载关键响应数据的收集，以便他们能够专注于补救风险。

普锐斯的持续网络和业务违规监控是对事件响应服务的补充，该监控提供了违规披露的定期更新，负面新闻事件和网络事件，如关于您供应商的恶意黑暗网络活动。

这些解决方案一起有助于自动发现违规影响并加快响应。

解决Codecov违规的下一步措施

使用此调查问卷确定Codecov攻击可能对您的供应商生态系统造成的影响。另外，服务器安全狗防御ddos，下载最佳实践白皮书了解更多信息，为多达20家供应商尝试免费业务和财务监控，如何开启高防cdn，海外游戏ddos防御，或联系我们进行演示！