GitHub Actions hat ein Policy-Mechanismus zur Einschränkung von Aktionen und Workflows, der leicht umgangen werden kann.
Der Autor beschreibt eine einfache Möglichkeit, diese Einschränkungen zu umgehen, indem man lokale Verzeichnisse für Aktionen verwendet.
GitHub hat diese Sicherheitslücke nicht als Problem eingestuft, jedoch wurde die Dokumentation danach stillschweigend angepasst.
Der Bericht diskutiert die Risiken solcher Umgehungsmöglichkeiten, da sie ein falsches Sicherheitsgefühl erzeugen können.
Zur Behebung des Problems könnten lokale ‚uses‘-Referenzen als eigene Kategorie betrachtet und entsprechend restriktiver behandelt werden.
Get notified when new stories are published for "🇩🇪 Hacker News Deutsch"