Рубрики
Uncategorized

Сохранение рабочих процессов действий GitHub

Миссия GitHub Security Lab — вдохновить и включить сообщество обеспечить Softwa Softwa с открытым источником … Помечено GitHub, DevOps, Security, Githubabies.

[«28-github-действия»] (26 части серии)

Github Security Lab’s Миссия состоит в том, чтобы вдохновить и позволить сообществу охранять программное обеспечение с открытым исходным кодом, на которых мы все зависят. В недавнем раскрытии, они Раскрытый 84 уязвимых рабочих процессов GitHub Action от pull_request_target злоупотребление инъекциями сценариев сообщила для сопровождающих.

Если вы следите за моими ежедневными советами, вы знаете, я большой pull_request_target Мероприятие для моего открытого гитабера. Сегодня я буду говорить о том, как вы можете обеспечить ваше использование его безопасным.

Действия GitHub — это мощная функция, но с этой властью возникает ответственность за безопасность вашего кода.

TL; DR: Предотвратить доступ к конфиденциальной информации о репозитории; Воздерживаться от использования pull_request_target с действиями/оформлением.

слияние фиксации нет pull_request.
Целевой репозиторий (включая секреты) да pull_request_target.

Использование действий/Checkout хранит секреты Secrets в локальной папке .git/Config в среде. Это не включено, если набор конфигурации действий Упорные данные: false Отказ По умолчанию Github Actions Crub Secrets из памяти, которые явно не ссылаются в рабочем процессе или в включенном действии.

Любая автоматизированная обработка PRS от внешних вилок потенциально опасна и должна рассматриваться как ненадежный вход. В качестве меры предосторожности, просматривая код из действия GitHub, включал в вашем проекте, чтобы подтвердить свой источник.

Вы можете лечить PR из вилок как ненадежного ввода, не включая доступ к записи для разветвленных репозиториев PR’d снова ваш проект.

Стандарт Github pull_request Запуск рабочего процесса по умолчанию предотвращает разрешения на запись и секреты доступ к целевому репозиторию. Однако в некоторых сценариях такой доступ необходим для правильной обработки пр. С этой целью pull_request_target Trigger Workflow был введен.

pull_request_target работает в контексте целевого хранилища PR, а не в слиянии. Это означает, что стандартные данные о проверке используются целевой репозиторий для предотвращения случайного использования поставляемого пользователем кода.

Со всем этим сказанным, если вы можете доверять/подтвердить весь вход от PR пользователя, то вы находитесь в самой безопасной позиции.

Чтобы отделиться в курсе других уязвимостей через GitHub, оформить список полных уязвимости Github.

https://securitylab.github.com/advisories

Это часть моих 28 дней серии действий. Чтобы получить уведомление о большего количества подсказки GitHub, следуйте за организацией GitHub прямо здесь на Dev.

Сжатие изображений для Интернета с действиями GitHub

Брайан Дуглас · 8 февраля · 3 мин прочитан

[«28-github-действия»] (26 части серии)

Оригинал: «https://dev.to/github/keeping-github-action-workflows-secure-p8h»