市场上的Github行为会做恶意的事情吗？ [英] Can Github Actions from the marketplace do malicious things?

问题描述

我是GitHub操作的新手。

市场上有可用的操作。这些操作中是否有任何操作可以对我的存储库进行恶意操作，例如

• 删除我的回购？
• 将恶意代码提交到我的回购中？
• 从专用存储库复制内容？

推荐答案

答案是(遗憾的)是

您可以在这里找到一些参考资料：

• Use GitHub actions at your own risk
• The Security of GitHub Actions
• Are Github Actions safe to use?
• GitHub操作的安全强化
保护您的href="https://securitylab.github.com/research/github-actions-untrusted-input/"操作和工作流的安全：不受信任的输入
• Keeping your GitHub Actions and workflows secure: Preventing pwn requests

请理解，这与您每天用于编码的大多数库是相同的。

Github Marketplace上的Github操作通常是公共开源存储库，并不总是由大公司支持。

它们中的大多数执行简单的操作，您可以通过查看存储库代码来检查这些操作，但所有者始终有可能在实现的深处配置恶意内容。

这就是为什么您在选择一个或另一个操作/库时需要注意这一点，并在将代码用于您自己的项目之前谨慎检查代码及其最终的漏洞。

如果需要将个人访问令牌(PAT)作为输入变量通知，请更加谨慎。

请注意，Github在Marketplace上显示经过验证的用户，可以将其视为"受信任"。

示例：

希望不是每个人都有这种心态(做恶意的事情)，而社区在大多数情况下都是有帮助的。只需注意，可能总会有一些风险(一些安全工具可以帮助解决这一点)。

这篇关于市场上的Github行为会做恶意的事情吗？的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！