公告 ID：2026-002-AWS
范围： AWS
内容类型： 信息性
发布日期：2026 年 1 月 15 日上午 07:03（太平洋标准时间）
 

描述：

一个安全研究团队发现了一个影响以下 AWS 管理的开源 GitHub 存储库的配置问题，该问题可能导致引入不当代码：

• aws-sdk-js-v3
• aws-lc
• amazon-corretto-crypto-provider
• awslabs/open-data-registry

具体而言，研究人员发现，上述存储库为 AWS CodeBuild Webhook 筛选条件配置的正则表达式不足以限制可信参与者 ID，因此，可预测获取的参与者 ID 能够获得受影响存储库的管理权限。我们可以确认，这些属于特定于项目的错误配置，只会影响这些存储库的 Webhook 参与者 ID 筛选条件，而不是 CodeBuild 服务本身的问题。研究人员仔细演示了向一个存储库提交不当代码的权限，并立即向 AWS Security 通报了其研究活动及其潜在的负面影响。

在本次安全研究活动中，没有向任何受影响的存储库引入不当代码，这些活动对任何 AWS 客户环境都没有影响，也没有影响任何 AWS 服务或基础设施。无需客户操作。

AWS 立即调查并纠正了本研究强调的所有已报告的问题。由于已识别存储库的正则表达式不足，导致参与者 ID 筛选条件绕过的核心问题在首次披露后的 48 小时内得到了缓解。还实施了其他缓解措施，包括轮换凭证，以及进一步保护包含 GitHub 令牌或内存中任何其他凭证的构建过程。

此外，AWS 审计了所有其他 AWS 管理的开源 GitHub 存储库，进而确保整个 AWS 开源项目中均不存在此类错误配置。最后，AWS 审计了这些公共构建存储库的日志以及相关的 CloudTrail 日志，并确定没有其他参与者利用了这个已演示的问题。

这项研究强调了审计 AWS CodeBuild 环境的重要性，进而确保任何基于 ACTOR_ID 筛选条件的访问控制都被正确地限定了范围，并被配置为仅允许列出的身份。除了 AWS 文档中的其他安全最佳实践外，使用 CodeBuild 的拉取请求构建策略功能也是针对 CI/CD 安全问题的另一项深度防御机制。

参考：

• 在 AWS CodeBuild 中使用 Webhook 的最佳实践
• 拉取请求评论批准

致谢：

我们要感谢 Wiz Security 的研究团队为发现此问题所做的工作，以及他们与我们进行的负责任协作，从而确保我们的客户持续受到保护并处于安全状态。

如有任何安全问题或疑虑，请发送电子邮件至 aws-security@amazon.com。