如何降低 GitHub Actions 的风险

于 2024-09-13 08:32:16 发布
阅读量886 收藏 7
点赞数 27
分类专栏: 网络研究观 文章标签: github GitHub Actions 安全 系统 网络 实践 研究
本文链接:https://blog.csdn.net/qq_29607687/article/details/142196530
版权

微信搜索同名网络研究观获取更多内容。

了解我们对 GitHub Actions 安全性的研究重点以及我们关于降低风险的建议。 

我们最近发布了一份名为 《GitHub Actions 安全状况》的报告,该报告分析了 GitHub Actions 工作流和自定义 GitHub Actions 的安全状况。

该报告基于对 553,000 个组织和个人用户的 2,500,000 个 GitHub Actions 工作流文件的分析。    

我们在 GitHub Actions 中发现了一些令人不安的安全问题,包括缺乏依赖固定或令牌权限限制。 

在这篇博文中,我们分享了我们的研究重点,以及关于减轻 GitHub Actions 使用风险的建议。 

避免 GitHub Actions 工作流程中的漏洞  

Legit 研究团队在 GitHub Actions 工作流中发现大量以下漏洞:  

👉插入不受信任的输入  
👉执行不受信任的代码  
👉使用不可信的工件  

通过以下方式避免这些漏洞: 

👉确保不要在工作流程中插入不受信任的数据。必要时,使用环境变量处理用户数据。  
👉不在特权工作流中执行来自分支(或任何其他外部源)的代码。  
👉避免来自不同工作流程的工件;如果必须,请将它们视为可疑的,并且不要相信它们包含的任何输入。  
👉不使用不受信任的输入来设置环境变量。利用此输入,攻击者可以配置可导致管道接管的环境变量。  
👉审核您正在使用的第三方操作并验证它们是否遵守安全最佳实践。  

避免自定义操作的风险 

我们的研究发现 GitHub Actions 市场的安全状况尤其令人担忧。

那里的大多数 Action 都未经验证,由一名开发人员维护,并且根据 OpenSSF Scorecard 的安全评分较低。  

自定义操作虽然有用,但对工作流作者来说却存在很大风险。为了限制风险,请在使用时遵守严格的标准。

确保从经过验证的所有者以及活跃、维护良好且安全评分较高的所有者处导入操作。  

避免 GitHub Actions 工作流程构建模块中的风险  

安全地使用触发器

有些触发器天生就比其他触发器具有更大的风险,例如 pull_request_target 和 workflow_run。我们发现这两个触发器都出现了数千次。 

尽可能避免使用危险触发器,例如workflow_run和pull_request_target。如果无法避免,请使用以下缓解策略: 

👉不要自动运行工作流程。  
👉执行前需要维护人员的批准(使用标签或环境)。  
👉将工作流令牌权限设置为最低限度。  
👉不要相信来自原始工作流的任何输入;将任何数据视为潜在的恶意数据。

安全地使用作业和步骤 

我们的研究发现,98.4% 的作业和步骤使用的引用没有遵循依赖固定的最佳实践,该实践指定了 Action 可以依赖哪个包或库。 

GitHub Actions 中的依赖项固定(以及一般情况下)对于确保工作流程稳定且可重现至关重要。

通过固定依赖项,您可以指定Actions 所依赖的外部包或库的确切版本。这种做法可防止意外更改或更新,这些更改或更新可能会引入重大更改、兼容性问题或安全漏洞。  

安全地使用跑步者 

有两种使用跑步者的方法:  

👉托管运行器:GitHub 拥有的虚拟机,任何人都可以立即使用。  
👉托管运行器:用户部署的自托管运行器,以满足安全性、性能或内存等个性化需求。 

自托管运行器存在重大的安全风险,尤其是在其上运行不受信任的工作流程时。  

我们建议仅使用具有私有存储库的自托管运行器。公共存储库的分支可能会通过创建在工作流程中执行代码的拉取请求,在自托管运行器机器上运行危险代码。  

另一方面,GitHub 托管的运行器是干净、隔离的虚拟机,它们在作业执行结束时会被销毁,不会带来相同的风险。  

安全地使用工作流权限  

每个工作流程运行都会分配一个 GitHub 个人访问令牌,该令牌的作用域为当前存储库,使其能够与 GitHub API 进行通信。默认情况下,此令牌具有很高的特权。 

我们的研究表明,只有 14% 的工作流程限制令牌权限。 

如果没有这些限制,令牌可能会被用于执行恶意操作或接管存储库。  

因此,工作流作者使用“权限”键来指定其工作流所需的范围非常重要。  


关于安全使用 GitHub Actions 的总体建议 

公司因使用不安全的 GitHub Actions 而面临的风险非常大。GitHub Actions 是公司最关键基础设施的关键。

它们既与组织的源代码相连,也与组织的部署环境相连,这意味着一旦被攻击者利用,组织就完全掌握在攻击者手中。  

意识和培训  

组织应优先教育其开发和运营团队了解与 GitHub Actions 相关的安全风险。  

本教育包括:• 正确处理机密• 代码注入的风险• 使用第三方操作的最佳实践  
 
培训课程应涵盖常见漏洞的识别和修复,重点强调安全第一的编码实践和定期审核工作流程以检测任何未经授权的更改。

此外,应实施持续的教育计划,让所有团队成员了解最新的安全威胁和缓解技术。  

组织范围内的最佳实践实施  

实施组织范围内的最佳实践配置执行对于维护 GitHub Actions 工作流程的安全性至关重要。

组织应使用 GitHub 的内置功能来控制 GitHub Actions 行为,以执行最佳实践和组织政策。  

这些政策包括:  

👉创建允许的第三方操作列表。  
👉将工作流令牌的默认权限配置为最低权限。  
👉控制哪些用户可以在组织中执行工作流程。  
👉控制哪些存储库可以使用自托管运行器。  
👉在组织内制定分叉政策。  
👉确定应允许 GitHub Actions 在哪里批准拉取请求。  

工具 

组织应该利用与 GitHub 无缝集成的安全工具来持续扫描 GitHub Actions 漏洞、错误配置、易受攻击的依赖项、秘密检测等。  

配置这些工具以自动扫描每个代码或配置更改的代码,确保立即反馈潜在的安全问题。   

网络研究观
关注
专栏目录
GitHub Actions是什么
ZJQ的博客
07-24 207
GitHub Actions提供了多种运行环境(如Ubuntu、Windows和macOS)和Docker集成,以满足各种应用的需求。开发者还可以在GitHub Marketplace上共享自己的Actions,并使用其他开发者分享的Actions。务,它允许开发者直接在GitHub仓库中设置、定制和执行工作流程。工作流包含一个作业,该作业在Ubuntu最新版本的虚拟机上运行。综上所述,GitHub Actions配置文件中设置的工作流在。GitHub Actions的工作基于“工作流”,
通过 GitHub Actions 最大限度地提高效率:软件工程师的高级策略
03-31
自动部署机制有助于降低人为错误的风险,并且能够加快产品迭代速度。GitHub Actions 支持多种部署策略,如金丝雀发布、蓝绿部署等,以最小化生产环境中出现故障的可能性。 - **示例应用**:通过设置金丝雀发布流程...
GitHub Actions 安全最佳实践
vvoennvv的博客
11-22 345
例如,它们可用于格式化代码、格式化 PR、将问题的评论与另一个票务系统的评论同步、为新问题添加适当的标签,或触发全面的云部署。GitHub Secrets 是一项功能,它允许您以安全的方式存储您的密钥,并在您的工作流程中使用 ${{}} 括号引用它们。你给它一个测试运行,它工作!没有人有时间关注他们使用的每个第三方操作的更新,但幸运的是 GitHub 为我们提供了一种方法来防止更新改变我们使用的操作。第三方操作正在与您的代码进行交互,并且可能在您拥有的服务器上运行,但您是否看过它们在后台实际执行的操作?
120、自动化部署:使用GitHub Actions和GitLab CI/CD实现持续集成与持续交付
silenceallat的博客
04-26 1249
本文介绍了如何使用GitHub Actions和GitLab CI/CD实现持续集成与持续交付。通过创建`.gitlab-ci.yml`和`ci.yml`文件,设置环境变量,并行运行作业,以及使用artifacts存储构建结果,可以自动化Rust项目的构建、测试和部署过程。这不仅提高了开发效率,还降低了发布风险
Github Actions与Jenkins,该如何做出正确的选择?
Docker的专栏
01-21 1557
在过去的几年中,DevOps已成为软件生命周期中至关重要的一部分。这推动了许多领先的DevOps工具和实践的增长。你可以找到一系列支持CI/CD流程的工具。Jenkins和GitHub ...
Github Actions自动部署Hexo博客至个人服务器
qq_51661411的博客
06-02 1030
hexo作为一款优秀的静态博客生成器有着一些显著的优点如免费快速简洁轻量,但也存在一些明显的缺点例如更换电脑不便需要重新安装环境,无法在线写文章(修改文章),随着文章和插件的增加hexo三连的速度会越来越慢,使用github actions集成化部署再配合hexoplusplus可以在很大程度上改善hexo的使用体验。 个人服务器是自建了 git 库,利用 hook 钩子发布到网站根目录。所以这篇教程最终是利用 hexo deploy 进行上传到服务器操作。具体可以查阅往期教程:点击这里 获取token.
GitHub Actions 遭利用,14个热门开源项目令牌泄露风险激增
FreeBuf_的博客
08-15 1299
近日,有攻击者通过 CI/CD 工作流中的 GitHub Actions 工具窃取了谷歌、微软、AWS 和 Red Hat 等多个知名开源项目的 GitHub 身份验证令牌。窃取这些令牌的攻击者可在未经授权的情况下访问私有存储库、窃取源代码或向项目中注入恶意代码。Palo Alto Networks Unit 42 发现这个情况后,立刻敦促所有受到影响的企业立刻采取行动。但由于 GitHub 暂未对此有所行动,因此根本问题仍未解决。
github 自动化集成_使用GitHub Actions进行软件开发指标自动化
weixin_26752759的博客
09-15 648
github 自动化集成 使用GitHub Actions进行软件开发指标自动化 (Software Development Metrics Automation Using GitHub Actions)Photo by Jean-Philippe Delberghe on Unsplash Jean-Philippe Delberghe在Unsplash上拍摄的照片 Most Softwar...
GitHub Actions 手动审批插件使用教程
gitblog_00863的博客
08-19 414
GitHub Actions 手动审批插件使用教程 manual-approvalPause your GitHub Actions workflow and request manual approval from set approvers before continuing项目地址:https://gitcode.com/gh_mirrors/ma/manual-approval 项目介绍...
推荐使用 actionlint:GitHub Actions 工作流静态检查工具
gitblog_00465的博客
09-08 718
推荐使用 actionlint:GitHub Actions 工作流静态检查工具 actionlint:octocat: Static checker for GitHub Actions workflow files项目地址:https://gitcode.com/gh_mirrors/ac/actionlint 项目介绍 actionlint 是一款专为 GitHub Actions 工作流...
GitHub Actions 安全状况.pdf
最新发布
09-13
大多数 GitHub Actions 工作流在某种程度上都是不安全的 — 它们权限过高、具有危险的依赖关系等。合法研究表明,即使是来自 Google 和 Apache 等企业的项目也存在缺陷。...使用 GitHub Custom Actions 时的风险
Github Actions 持续集成.pdf
05-08
1. **及时发现错误**:通过自动化的构建和测试,可以快速识别并修复引入的新错误,降低了错误传播至生产环境的风险。 2. **简化合并流程**:频繁地将更改合并到共享仓库有助于减少合并冲突的可能性,简化团队协作...
github-actions-deploy-aur:GitHub发布AUR包的操作
02-05
标题 "github-actions-deploy-aur" 提到的是一个利用 GitHub Actions 实现自动化部署 Arch Linux User Repository (AUR) 包的过程。AUR 是一个社区驱动的仓库...这大大提高了工作效率,降低了手动操作带来的错误风险
2022年有多少人使用微信?
热门推荐
网络研究观
12-15 2万+
预计到 2025 年将达到 25 亿用户。
ChatGPT 存在很大的隐私问题
网络研究观
04-08 2万+
数据最终如何进入 GPT-4 之类的东西,存在这种分层和复杂的供应链,从来没有真正设计或默认的任何类型的数据保护。
2021年加密货币犯罪报告
网络研究观
09-07 1万+
关于当今网络犯罪分子如何使用加密货币的原创研究和案例研究
如何一键关闭win安全中心(Windows Defender )
网络研究观
05-14 1万+
用于设置 Windwos Defender 状态(开关),和卸载 Windows Defender 相关组件。
微信各平台历史版本含下载地址大全( 安卓 | Windows | MAC )
网络研究观
07-24 1万+
微信各平台历史版本含下载地址大全
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网络研究观

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值