Gh Actions - Artifact Poisoning
Artifact Poisoning
他のリポジトリからアーティファクトをダウンロードできるいくつかのGithub Actionsがあります。これらの他のリポジトリには通常、後でダウンロードされるアーティファクトをアップロードするGithub Actionがあります。
攻撃者がなんらかの方法でGithub Actionを妨害できれば、アップロードされたアーティファクトを妨害することができ、これによりそれを使用する他のワークフローを妨害する可能性があります。
他のリポジトリからのアーティファクトのダウンロードの例:
詳細や防御オプション(例:ダウンロードするアーティファクトをハードコーディングするなど)については、https://www.legitsecurity.com/blog/artifact-poisoning-vulnerability-discovered-in-rustを参照してください
最終更新