![]() |
GitHub обновляет actions/checkout для защиты от атак pwn request
https://blogger.googleusercontent.co...ub-actions.jpg
GitHub предпринимает шаги для усиления безопасности программной цепочки поставок, обновляя инструмент "actions/checkout" с целью блокировки атак pwn request. Эти атаки используют рискованный триггер "pull_request_target workflow", позволяя запускать вредоносный код с полными привилегиями рабочего процесса. Обновление вступит в силу 18 июня 2026 года. Новая версия "actions/checkout" будет включать в себя механизмы защиты, которые помогут предотвратить эксплуатацию уязвимостей, связанных с использованием триггеров, позволяющих выполнять код в контексте доверенного окружения. Данная мера направлена на защиту разработчиков и их репозиториев от потенциальных угроз, возникающих в результате неправомерного использования возможностей GitHub Actions. Особенно это актуально для проектов с открытым исходным кодом, где злоумышленники могут попытаться внедрить вредоносный код через запросы на слияние. GitHub подчеркивает важность безопасного управления процессами CI/CD и призывает разработчиков внимательно следить за изменениями в их репозиториях. Обновление "actions/checkout" является частью более широкой стратегии, нацеленной на улучшение общей безопасности платформы. Компания также планирует предоставить дополнительные рекомендации и инструменты для разработчиков, чтобы помочь им лучше защищать свои проекты от возможных атак. Важно отметить, что обновление не только улучшит безопасность, но и повысит доверие к экосистеме GitHub в целом. Разработчики должны быть готовы к изменениям и адаптировать свои рабочие процессы в соответствии с новыми требованиями, чтобы обеспечить максимальную защиту своих проектов. Источник новости: The Hacker News Читать полностью |
| Время: 16:55 |