Gh Actions - Artifact Poisoning
Zatrucie artefaktami
Istnieje kilka działań w Github Actions, które pozwalają pobrać artefakty z innych repozytoriów. Te inne repozytoria zazwyczaj będą miały działanie w Github do wysyłania artefaktu, który później będzie pobrany.
Jeśli atakujący w jakiś sposób może skompromitować działanie w Github, będzie mógł skompromitować wysłany artefakt, co może pozwolić mu skompromitować inne przepływy pracy, które go używają.
Przykład pobrania artefaktu z innego repozytorium:
Aby uzyskać więcej informacji i opcji obrony (takich jak wprowadzenie sztywnego adresu artefaktu do pobrania), sprawdź https://www.legitsecurity.com/blog/artifact-poisoning-vulnerability-discovered-in-rust
Last updated