ДОСЛІДЖЕННЯ МЕТОДІВ ТА ЗАСОБІВ ПІДВИЩЕННЯ БЕЗПЕКИ ПРОТОКОЛУ GIT LFS

Автор(и)

Володимир Гавриляк Національний Університет «Львівська Політехніка» https://orcid.org/0009-0002-4114-1232

DOI:

https://doi.org/10.28925/2663-4023.2025.31.1040

Ключові слова:

Git; Сховище великих файлів; DevSecOps; вразливості передачі даних.

Анотація

У сучасних умовах стрімкого розвитку практик DevOps та MLOps система контролю версій Git стала стандартом індустрії, охоплюючи понад 90% ринку розробки. Зростання обсягів використання технологій машинного навчання та необхідність версіонування великих бінарних об'єктів (ML-моделей, датасетів) зумовили масове впровадження розширення Git Large File Storage (LFS). Однак, специфічна архітектура цього протоколу, що базується на відокремленні метаданих від вмісту файлів, створює нову, критичну поверхню атак, яка залишається недостатньо дослідженою в контексті безпеки ланцюгів постачання програмного забезпечення (Software Supply Chain Security). З огляду на зазначену проблематику, метою роботи обрано системний аналіз архітектурних вразливостей протоколу Git LFS та розробку комплексу практичних рекомендацій щодо підвищення рівня захищеності інфраструктури. Для досягнення цієї мети застосовано методи моделювання загроз та експериментального тестування у контрольованому середовищі, зокрема під час міграції даних між GitLab та GitHub, а також детально проаналізовано специфікацію Batch API та механізми гібридної автентифікації. За результатами дослідження експериментально підтверджено, що використання гібридної моделі транспорту (SSH для Git, HTTPS для LFS) створює проблему "розриву контексту безпеки", що ускладнює валідацію доступу. На основі аналізу ідентифіковано три групи критичних вразливостей: порушення конфіденційності через недостатню перевірку приналежності об'єктів, загрози цілісності даних через можливість підміни вмісту файлів ("отруєння" кешу) та ризики доступності через атаки на виснаження квот (Quota-based DoS). Зокрема встановлено, що відсутність перевірки хеш-сум на стороні хмарних сховищ дозволяє впровадження шкідливого коду в ML-моделі, оминаючи стандартні засоби захисту. Узагальнюючи отримані результати, у роботі систематизовано вектори атак на інфраструктуру LFS та адаптовано міжнародні практики безпеки, впровадження яких є обов'язковим для захисту LFS-серверів. Як ключові заходи запропоновано перехід до моделі "Verify-before-Write", заборону використання ключів розгортання (deploy keys) для запису даних та впровадження суворої атрибуції квот до поточного репозиторію.

Завантаження

Дані завантаження ще не доступні.

Посилання

Stack Overflow. (2025). 2025 Stack Overflow Developer Survey. Stack Overflow Insights. https://survey.stackoverflow.co/2025

Piergiorgio, L., Plate, H., Matias, M., & Barais, O. (2023). SoK: Taxonomy of attacks on open-source software supply chains. In 2023 IEEE Symposium on Security and Privacy. https://doi.org/10.1109/SP46215.2023.10179304

GitLab. (2024). 2024 Global DevSecOps Report: The state of AI in software development. https://about.gitlab.com/developer-survey/

Chen, Y., Wang, Q., Yang, Y., Chen, Y., Li, Y., & Ji, S. (2025). Unveiling security vulnerabilities in Git Large File Storage protocol. In 2025 IEEE Symposium on Security and Privacy (SP) (pp. 468–485). IEEE. https://doi.org/10.1109/sp61157.2025.00123

Blischak, J. D., Davenport, E. R., & Wilson, G. (2016). A quick introduction to version control with Git and GitHub. PLOS Computational Biology, 12(1), Article e1004668. https://doi.org/10.1371/journal.pcbi.1004668

Git. (n.d.). Git. https://git-scm.com/

Git Large File Storage. (n.d.). Git Large File Storage. https://git-lfs.com/

Schink, M., Wagner, A., Unterstein, F., & Heyszl, J. (2021). Security and trust in open source security tokens. IACR Transactions on Cryptographic Hardware and Embedded Systems, 176–201. https://doi.org/10.46586/tches.v2021.i3.176-201

Xiang, Z., Miller, D. J., & Kesidis, G. (2024). BadChain: Backdoor attacks in the supply chain of large language models. In 2024 IEEE Conference on Secure and Trustworthy Machine Learning (SaTML) (pp. 1–18). IEEE.

Koohy, B., & Cito, J. (2023). Empirical analysis of security weaknesses in CI/CD pipelines. In 2023 IEEE/ACM 20th International Conference on Mining Software Repositories (MSR) (pp. 214–225). IEEE.

Downloads

Переглядів анотації: 8

Опубліковано

2025-12-16

Як цитувати

Гавриляк, В. (2025). ДОСЛІДЖЕННЯ МЕТОДІВ ТА ЗАСОБІВ ПІДВИЩЕННЯ БЕЗПЕКИ ПРОТОКОЛУ GIT LFS. Електронне фахове наукове видання «Кібербезпека: освіта, наука, техніка», 3(31), 472–482. https://doi.org/10.28925/2663-4023.2025.31.1040