Η GitHub Actions προσφέρει μια μηχανιστική της πολιτικής για τον περιορισμό των ενεργειών και των επαναχρησιμοποιούμενων ροών εργασίας που μπορούν να χρησιμοποιηθούν μέσα σε ένα αποθετήριο, οργανισμό ή ολόκληρη την επιχείρηση.
Υπάρχει μια ευκολία να παρακαμφθεί αυτή η πολιτική με τη χρήση σχετικών διαδρομών στο σύστημα αρχείων του runner.
Παρόλο που η GitHub δεν αναγνωρίζει το θέμα αυτό ως ζήτημα ασφαλείας, αποτελεί σημαντικό κενό που μπορεί να οδηγήσει σε ανασφάλιστες πρακτικές συμμόρφωσης.
Η λύση που προτείνεται είναι είτε η αλλαγή της συμπεριφοράς των "local" αναφορών για τις πολιτικές, είτε τουλάχιστον η τεκμηρίωση των περιορισμών αυτής της μηχανιστικής.
Η μη αποτελεσματική πολιτική ασφαλείας μπορεί να δώσει την ψευδαίσθηση της ασφάλειας, ενώ στην πραγματικότητα επιτρέπει παρακάμψεις.
Get notified when new stories are published for "🇬🇷 Hacker News Ελληνικά"