Gh Actions - Artifact Poisoning

アーティファクトのポイズニング

他のリポジトリからアーティファクトをダウンロードすることを許可するいくつかのGithub Actionsがあります。これらの他のリポジトリには、後でダウンロードされるアーティファクトをアップロードするためのGithub Actionが通常あります。

攻撃者が何らかの方法でGithub Actionを妥協できれば、アップロードされたアーティファクトを妥協することができ、それを使用する他のワークフローを妥協することが可能になります。

異なるリポジトリからのアーティファクトのダウンロードの例：

詳細情報や防御オプション（アーティファクトをダウンロードするためのハードコーディングなど）については、https://www.legitsecurity.com/blog/artifact-poisoning-vulnerability-discovered-in-rustを確認してください。