【发布时间】:2021-08-15 01:11:31
【问题描述】:
我是 GitHub Actions 的绝对初学者。
市场上有可用的操作。这些操作中的任何一个是否会对我的存储库产生恶意行为,例如,
- 删除我的仓库?
- 将恶意代码提交到我的存储库中?
- 从私有存储库复制内容?
【问题讨论】:
标签: github-actions
【发布时间】:2021-08-15 01:11:31
【问题描述】:
答案是(很遗憾)是
你可以在这里找到一些参考资料:
- Use GitHub actions at your own risk
- The Security of GitHub Actions
- Are Github Actions safe to use?
- Security hardening for GitHub Actions
- Keeping your GitHub Actions and workflows secure: Untrusted input
- Keeping your GitHub Actions and workflows secure: Preventing pwn requests
了解这与您每天用于编码的大多数库相同。
Github Marketplace 上的Github Actions 通常是公共开源存储库,并不总是得到大公司的支持。他们中的大多数都执行简单的操作,您可以通过查看存储库代码来检查,但所有者总是有可能在实现的深处配置恶意内容。
这就是为什么您在选择一个或另一个动作/库时需要注意这一点,并在将它们用于您自己的项目之前要谨慎并检查代码及其最终漏洞。
如果您需要通知 个人访问令牌 (PAT) 作为输入变量,请更加谨慎。
请注意,Github 会在 Marketplace 上显示经过验证的用户,这可以被视为“受信任”。
示例:
希望不是每个人都有这种(做恶事)的心态,而且社区大部分时间都是乐于助人的。请注意,可能总是存在一些风险(一些安全工具可以帮助解决这个问题)。
【讨论】:
-
谢谢。我认为“操作”在某种程度上是经过验证的操作集合,并且与 GitHub 本身一样值得信赖/安全。
-
我知道 GitHub 团队正在研究一些方法来限制
GITHUB_TOKEN,因为当前的令牌有很多权限。所以这给我们带来了更多的安全性。