Contournement de la politique GitHub Actions : une manière triviale de contourner des politiques apparemment sécurisées
2025-06-11
GitHub Actions fournit un mécanisme de politique pour restreindre les actions et les workflows réutilisables utilisables dans un référentiel, une organisation ou une entreprise. Cependant, ce mécanisme est facilement contournable. En clonant le référentiel d’action dans le système de fichiers de l’agent, puis en utilisant une référence de chemin local pour exécuter la même action, la politique est trivialement contournée. Cela rend la politique apparemment sécurisée inefficace. L’auteur exhorte GitHub à résoudre cette vulnérabilité afin d’empêcher les développeurs de croire à tort que les politiques fournissent une limite de sécurité qui n’existe pas.
Développement
Contournement de politique