Bypassing GitHub Actions policies in the dumbest way possible
a year ago
- #Policy Bypass
- #GitHub Actions
- #Security
- GitHub Actions提供了一种策略机制,用于限制仓库、组织或企业中的操作和可重用工作流。
- 该策略机制很容易被绕过,方法是在本地获取操作并通过相对路径使用它们。
- GitHub不认为这种绕过是安全问题,但作者持不同意见。
- 绕过方法包括克隆操作仓库并在本地使用,而不是直接引用它。
- 建议的修复措施包括将本地使用视为单独的策略类别,或记录这一限制。
- 无效的策略机制可能会产生虚假的安全感,并鼓励人们寻找变通方法。