GitHub Actions 정책 우회: 안전해 보이는 정책의 간단한 우회 방법
2025-06-11
GitHub Actions는 저장소, 조직 또는 기업 내에서 사용할 수 있는 액션과 재사용 가능한 워크플로를 제한하기 위한 정책 메커니즘을 제공합니다. 그러나 이 메커니즘은 쉽게 우회될 수 있습니다. 실행자의 파일 시스템에 액션 저장소를 복제한 다음 동일한 액션을 실행하기 위해 로컬 경로 참조를 사용하면 정책을 간단하게 우회할 수 있습니다. 이는 안전해 보이는 정책을 무효화합니다. 저자는 GitHub가 이 취약성을 해결하여 개발자가 정책이 실제로 존재하지 않는 보안 경계를 제공한다고 잘못 생각하지 않도록 촉구합니다.
개발
정책 우회