Gh Actions - Artifact Poisoning
Empoisonnement des Artifacts
Il existe plusieurs actions Github qui permettent de télécharger des artifacts à partir d'autres dépôts. Ces autres dépôts auront généralement une action Github pour uploader l'artifact qui sera ensuite téléchargé.
Si un attaquant parvient à compromettre l'action Github, il pourra compromettre l'artifact téléchargé ce qui pourrait lui permettre de compromettre d'autres workflows qui l'utilisent.
Exemple de téléchargement d'artifact à partir d'un dépôt différent :
Pour plus d'informations et d'options de défense (telles que le durcissement de l'artifact à télécharger), consultez https://www.legitsecurity.com/blog/artifact-poisoning-vulnerability-discovered-in-rust
Dernière mise à jour