Risque de sécurité sur GitHub Actions : la vulnérabilité des balises mutables
Une attaque récente sur l'action GitHub Actions tj-actions/changed-files a mis en évidence une faille de sécurité. En modifiant une balise Git mutable, les attaquants ont pu injecter du code malveillant et divulguer des secrets provenant des journaux de build, qui sont publics pour les référentiels publics. L'auteur partage un script shell pour auditer les actions GitHub Actions utilisées, soulignant l'importance d'utiliser des ID de commit immuables pour la sécurité. Le script analyse les fichiers YAML de workflow pour identifier et compter les actions, en privilégiant celles provenant de grandes organisations ou les scripts écrits par l'auteur lui-même plutôt que d'autres moins fiables. L'auteur préconise de privilégier les actions des grandes organisations et d'écrire des scripts personnalisés lorsque cela est possible.