Commit hash pinning in GitHub Actions: secure, but at a cost
9 months ago
- #DevOps
- #GitHub Actions
- #Security
- 在GitHub Actions中使用提交哈希/SHA固定是安全最佳实践,但也存在权衡取舍
- 管理大量Action的升级工作繁琐且容易人为出错
- 使用Dependabot自动化更新可能重新引入类似版本标签的风险
- Dependabot安全警报不适用于提交哈希,可能削弱安全性
- 知名维护者(如AWS)出现CVE的可能性高于账户被接管的风险
- GitHub正在试验不可变Action以解决提交哈希的缺陷
- 替代方案1:使用信誉良好的维护者的版本标签,避免未知作者
- 替代方案2:创建内部包装Action来集中简化哈希更新
- 提交哈希固定通常不切实际,可信来源的版本标签可能已足够