Riesgo de seguridad en GitHub Actions: La vulnerabilidad de las etiquetas mutables
Un ataque reciente a la acción de GitHub Actions tj-actions/changed-files puso de manifiesto una vulnerabilidad de seguridad. Al modificar una etiqueta Git mutable, los atacantes pudieron inyectar código malicioso y filtrar secretos de los registros de compilación, que son públicos para los repositorios públicos. El autor comparte un script de shell para auditar las acciones de GitHub Actions utilizadas, enfatizando la importancia de usar ID de commit inmutables para la seguridad. El script analiza los archivos YAML de flujo de trabajo para identificar y contar las acciones, dando prioridad a las de grandes organizaciones o a los scripts escritos por el propio autor en lugar de otras menos confiables. El autor aboga por priorizar las acciones de grandes organizaciones y escribir scripts personalizados siempre que sea posible.