GitHub Actions 보안 위험: 변경 가능한 태그 취약성
2025-03-25
최근 tj-actions/changed-files GitHub Actions에 보안 취약성이 발견되었습니다. 변경 가능한 Git 태그를 조작하여 공격자는 악성 코드를 주입하고 공개 저장소의 공개 빌드 로그에서 시크릿 정보를 유출할 수 있었습니다. 이 글의 저자는 사용 중인 GitHub Actions를 확인하기 위한 셸 스크립트를 공유하고, 보안 강화를 위해 불변의 커밋 ID를 사용하는 것이 중요함을 강조합니다. 스크립트는 워크플로 YAML 파일에서 액션을 식별하고 계산하며, 대규모 조직의 액션이나 직접 작성한 스크립트를 신뢰할 수 없는 것보다 우선시합니다. 저자는 대규모 조직의 액션을 우선 사용하고 가능하면 직접 스크립트를 작성할 것을 권장합니다.
개발