GitHub Actionsのセキュリティリスク:可変タグの脆弱性
2025-03-25
最近、tj-actions/changed-filesというGitHub Actionsにセキュリティ脆弱性が発見されました。可変Gitタグを改ざんすることで、攻撃者は悪意のあるコードを注入し、公開リポジトリの公開ビルドログからシークレット情報を漏洩させることができました。この記事の著者は、使用しているGitHub Actionsを確認するためのシェルスクリプトを共有し、セキュリティ強化のためには不変のコミットIDを使用することの重要性を強調しています。スクリプトはワークフロールームのYAMLファイルからアクションを特定・カウントし、大規模組織のものや自作スクリプトを、信頼性の低いものよりも優先しています。著者は、大規模組織のアクションを優先し、可能な限り自作スクリプトを作成することを推奨しています。
開発