市场上的Github行为会做恶意的事情吗? [英] Can Github Actions from the marketplace do malicious things?
本文介绍了市场上的Github行为会做恶意的事情吗?的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!
问题描述
我是GitHub操作的新手。
市场上有可用的操作。这些操作中是否有任何操作可以对我的存储库进行恶意操作,例如
- 删除我的回购?
- 将恶意代码提交到我的回购中?
- 从专用存储库复制内容?
推荐答案
答案是(遗憾的)是
您可以在这里找到一些参考资料:
- Use GitHub actions at your own risk
- The Security of GitHub Actions
- Are Github Actions safe to use?
- GitHub操作的安全强化 保护您的href="https://securitylab.github.com/research/github-actions-untrusted-input/"操作和工作流的安全:不受信任的输入
- Keeping your GitHub Actions and workflows secure: Preventing pwn requests
请理解,这与您每天用于编码的大多数库是相同的。
Github Marketplace上的Github操作通常是公共开源存储库,并不总是由大公司支持。
它们中的大多数执行简单的操作,您可以通过查看存储库代码来检查这些操作,但所有者始终有可能在实现的深处配置恶意内容。
这就是为什么您在选择一个或另一个操作/库时需要注意这一点,并在将代码用于您自己的项目之前谨慎检查代码及其最终的漏洞。
如果需要将个人访问令牌(PAT)作为输入变量通知,请更加谨慎。
请注意,Github在Marketplace上显示经过验证的用户,可以将其视为"受信任"。
示例:
希望不是每个人都有这种心态(做恶意的事情),而社区在大多数情况下都是有帮助的。只需注意,可能总会有一些风险(一些安全工具可以帮助解决这一点)。
这篇关于市场上的Github行为会做恶意的事情吗?的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持IT屋!
查看全文