PDA

Просмотр полной версии : GitHub обновляет actions/checkout для защиты от атак pwn request


AntichatNews
24.06.2026, 09:00
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjcacTEKD_LZFda1wwX5aClbAVOb6mwah2lVUY-jUZwNsrSZGDOFL18LP5zYLX3M2DwKng0qknZ5qo_hMk4q-NExgZv1ozhCy7DJuZwvviZE0sv36PQ2k8Y2emv1KMDFplakFwV zulOFPteWkmVoLO6Le912KAbJGFW0nkqKWHEkwJQLbsGhz5npW O3aJaR/s1700-e365/github-actions.jpg

GitHub предпринимает шаги для усиления безопасности программной цепочки поставок, обновляя инструмент "actions/checkout" с целью блокировки атак pwn request. Эти атаки используют рискованный триггер "pull_request_target workflow", позволяя запускать вредоносный код с полными привилегиями рабочего процесса. Обновление вступит в силу 18 июня 2026 года.

Новая версия "actions/checkout" будет включать в себя механизмы защиты, которые помогут предотвратить эксплуатацию уязвимостей, связанных с использованием триггеров, позволяющих выполнять код в контексте доверенного окружения.

Данная мера направлена на защиту разработчиков и их репозиториев от потенциальных угроз, возникающих в результате неправомерного использования возможностей GitHub Actions. Особенно это актуально для проектов с открытым исходным кодом, где злоумышленники могут попытаться внедрить вредоносный код через запросы на слияние.

GitHub подчеркивает важность безопасного управления процессами CI/CD и призывает разработчиков внимательно следить за изменениями в их репозиториях. Обновление "actions/checkout" является частью более широкой стратегии, нацеленной на улучшение общей безопасности платформы.

Компания также планирует предоставить дополнительные рекомендации и инструменты для разработчиков, чтобы помочь им лучше защищать свои проекты от возможных атак. Важно отметить, что обновление не только улучшит безопасность, но и повысит доверие к экосистеме GitHub в целом.

Разработчики должны быть готовы к изменениям и адаптировать свои рабочие процессы в соответствии с новыми требованиями, чтобы обеспечить максимальную защиту своих проектов.

Источник новости:
The Hacker News (https://thehackernews.com/2026/06/github-updates-actionscheckout-to-block.html)

Читать полностью (https://thehackernews.com/2026/06/github-updates-actionscheckout-to-block.html)