IT之家于6月19日报道,Sysdig公司旗下的研究团队指出,由于开发人员和仓库管理者在GitHub Actions的配置上存在失误,这可能会引发代码仓库遭受攻击以及机密资料外泄的潜在风险。
IT之家引用薄雾浓的介绍,指出该团队认为,问题的核心在于对 pull_request_target 触发事件的过度使用。与普通的 pull_request 事件有所区别,pull_request_target 是在仓库的主分支上下文中运行的,而不是在合并后的提交环境中。
这表明它有权获取仓库中的关键机密信息(例如API密钥)以及GITHUB_TOKEN的预设读写权限;如果开发者没有对权限进行限制,攻击者便可能通过恶意代码的植入,盗取这些凭证并进而掌控整个仓库。
研究人员扫描数十个开源仓库后,发现多个高风险案例:
Sysdig的威胁研究负责人Stefan Chierici强调,若攻击者成功获取了高级别的GITHUB_TOKEN,他们便能够篡改工作流程中的代码,盗取所有机密信息,甚至对主分支的文件进行修改,从而几乎实现对仓库的全面掌控。
他着重指出,pull_request_target 的应用涉及诸多复杂因素,开发者必须深刻认识到其中的安全隐患,以免陷入“盲目依赖”的误区。即便这一功能在安全方面表现良好,仍建议只在真正需要时才启用它,并且对访问权限进行严格把控。
