GitHub Actions policies kunnen eenvoudig worden omzeild door aangepaste paden te gebruiken in plaats van officiële actiepaden.
Het probleem ontstaat door het gemak waarmee men lokale kopieën van GitHub repositories kan gebruiken voor acties, waardoor beleidsbeperkingen worden genegeerd.
De auteur suggereert dat GitHub deze lokale paden ook moet controleren in hun beleidsregels om dergelijke omzeilingen te voorkomen.
Het gebrek aan juiste controle en beperking verhoogt het risico dat kwaadwillende code ongemerkt kan worden uitgevoerd binnen GitHub repos.
Er is een voorgestelde oplossing om ofwel lokale referenties te verbieden of op zijn minst hun beperkingen in de beleidsmechanismen duidelijk te documenteren.
Get notified when new stories are published for "🇳🇱 Hacker News Dutch"