[«28-github-действия»] (26 части серии)
Github Security Lab’s Миссия состоит в том, чтобы вдохновить и позволить сообществу охранять программное обеспечение с открытым исходным кодом, на которых мы все зависят. В недавнем раскрытии, они Раскрытый 84 уязвимых рабочих процессов GitHub Action от pull_request_target злоупотребление инъекциями сценариев сообщила для сопровождающих.
Если вы следите за моими ежедневными советами, вы знаете, я большой pull_request_target Мероприятие для моего открытого гитабера. Сегодня я буду говорить о том, как вы можете обеспечить ваше использование его безопасным.
Действия GitHub — это мощная функция, но с этой властью возникает ответственность за безопасность вашего кода.
TL; DR: Предотвратить доступ к конфиденциальной информации о репозитории; Воздерживаться от использования pull_request_target с действиями/оформлением.
| слияние фиксации | нет | pull_request. |
| Целевой репозиторий (включая секреты) | да | pull_request_target. |
Использование действий/Checkout хранит секреты Secrets в локальной папке .git/Config в среде. Это не включено, если набор конфигурации действий Упорные данные: false Отказ По умолчанию Github Actions Crub Secrets из памяти, которые явно не ссылаются в рабочем процессе или в включенном действии.
Любая автоматизированная обработка PRS от внешних вилок потенциально опасна и должна рассматриваться как ненадежный вход. В качестве меры предосторожности, просматривая код из действия GitHub, включал в вашем проекте, чтобы подтвердить свой источник.
Вы можете лечить PR из вилок как ненадежного ввода, не включая доступ к записи для разветвленных репозиториев PR’d снова ваш проект.
Стандарт Github pull_request Запуск рабочего процесса по умолчанию предотвращает разрешения на запись и секреты доступ к целевому репозиторию. Однако в некоторых сценариях такой доступ необходим для правильной обработки пр. С этой целью pull_request_target Trigger Workflow был введен.
pull_request_target работает в контексте целевого хранилища PR, а не в слиянии. Это означает, что стандартные данные о проверке используются целевой репозиторий для предотвращения случайного использования поставляемого пользователем кода.
Со всем этим сказанным, если вы можете доверять/подтвердить весь вход от PR пользователя, то вы находитесь в самой безопасной позиции.
Чтобы отделиться в курсе других уязвимостей через GitHub, оформить список полных уязвимости Github.
https://securitylab.github.com/advisories
Это часть моих 28 дней серии действий. Чтобы получить уведомление о большего количества подсказки GitHub, следуйте за организацией GitHub прямо здесь на Dev.
Сжатие изображений для Интернета с действиями GitHub
Брайан Дуглас · 8 февраля · 3 мин прочитан
[«28-github-действия»] (26 части серии)
Оригинал: «https://dev.to/github/keeping-github-action-workflows-secure-p8h»