Evasión de la Política de GitHub Actions: Una Circunvalación Trivial de Políticas Aparentemente Seguras
2025-06-11
GitHub Actions proporciona un mecanismo de política para restringir las acciones y los flujos de trabajo reutilizables utilizables dentro de un repositorio, organización o empresa. Sin embargo, este mecanismo se elude fácilmente. Al clonar el repositorio de acción en el sistema de archivos del agente y luego usar una referencia de ruta local para ejecutar la misma acción, la política se elude trivialmente. Esto hace que la política aparentemente segura sea ineficaz. El autor insta a GitHub a abordar esta vulnerabilidad para evitar que los desarrolladores crean erróneamente que las políticas proporcionan un límite de seguridad que en realidad no existe.
Desarrollo
Evasión de Política