Sicherheitsrisiko bei GitHub Actions: Die Verwundbarkeit veränderlicher Tags
Ein kürzlich erfolgter Angriff auf die GitHub Actions-Aktion tj-actions/changed-files hat eine Sicherheitslücke aufgezeigt. Durch die Änderung eines veränderlichen Git-Tags konnten Angreifer bösartigen Code injizieren und Geheimnisse aus Build-Logs extrahieren, die für öffentliche Repositorys öffentlich zugänglich sind. Der Autor teilt ein Shell-Skript zum Überprüfen der verwendeten GitHub Actions, wobei er die Bedeutung der Verwendung unveränderlicher Commit-IDs für die Sicherheit betont. Das Skript analysiert Workflow-YAML-Dateien, um Aktionen zu identifizieren und zu zählen, wobei Aktionen von großen Organisationen oder selbstgeschriebene Skripte gegenüber weniger vertrauenswürdigen bevorzugt werden. Der Autor empfiehlt, Aktionen von großen Organisationen zu bevorzugen und nach Möglichkeit eigene Skripte zu schreiben.