مخاطر أمنية في GitHub Actions: ثغرة أمان العلامات القابلة للتغيير
2025-03-25
سلط هجومٌ حديثٌ على إجراء GitHub Actions tj-actions/changed-files الضوء على ثغرة أمنية. من خلال تعديل علامة Git قابلة للتغيير، تمكن المهاجمون من حقن رمز خبيث وتسريب أسرار من سجلات البناء، وهي سجلات عامة للمستودعات العامة. يشارك الكاتب نصًا برمجيًا بلغة shell للتحقق من إجراءات GitHub Actions المستخدمة، مؤكدًا على أهمية استخدام معرفات الالتزامات الثابتة من أجل الأمان. يقوم النص البرمجي بتحليل ملفات YAML الخاصة بسير العمل لتحديد عدد الإجراءات، مع إعطاء الأولوية لتلك التي تأتي من منظمات كبيرة أو النصوص البرمجية المكتوبة ذاتيًا على تلك التي يقل مستوى ثقتها. ينصح الكاتب بإعطاء الأولوية لإجراءات المنظمات الكبيرة وكتابة نصوص برمجية مخصصة كلما أمكن ذلك.
التطوير
نص برمجي shell