Optimierung der statischen Analyse von GitHub Actions mit endlichen Zustandsüberträgern
2025-08-18
Der Entwickler des statischen Analysetools zizmor hat seine Erkennung von Template-Injection-Schwachstellen in GitHub Actions mithilfe von Finite-State-Transducern (FSTs) optimiert. Durch die Abbildung von GitHub Actions-Kontextmustern auf ihre logische „Fähigkeit“ reduzierten FSTs die Repräsentationsgröße um eine Größenordnung (von ~240 KB auf ~14,5 KB) und erwiesen sich als schneller und speichereffizienter als vorherige tabellen- und Präfixbaum-basierte Ansätze. Darüber hinaus wird der FST zur Kompilierzeit vorberechnet, wodurch die Startkosten entfallen. Diese Verbesserung reduziert deutlich falsch positive Ergebnisse und erhöht die Effizienz der Erkennung.
Entwicklung
endlicher Zustandsüberträger