【GitHub Actions 配置不当,恐导致代码仓库被劫持、机密信息泄露】6 月 19 日消息,云原生安全公司 Sysdig 的研究团队发现,开发者和仓库维护者配置 GitHub Actions 不当,可能导致代码仓库被劫持及机密信息泄露的风险。
IT之家援引薄雾浓介绍,该团队指出核心问题源于对 pull_request_target 触发事件的滥用。与常规的 pull_request 事件不同,pull_request_target 运行于仓库的主分支上下文,而非合并后的提交环境。
这意味着它能访问仓库的敏感机密(如 API 密钥)和 GITHUB_TOKEN 的默认读写权限,若开发者未限制权限,攻击者可能通过恶意代码注入,窃取 tokens 并控制仓库。
转自:IT之家
发布于:北京市股票怎么配资提示:文章来自网络,不代表本站观点。
- 上一篇:股市场外配资依旧是一头标志性的利落短发
- 下一篇:没有了
