GitHub Actions工件泄露身份验证令牌问题曝光

报道,Palo Alto Networks 的 Unit 42 最近的一项调查显示,多个备受瞩目的开源项目正在通过 GitHub Actions 工作流中生成的工件泄露 GitHub 身份验证令牌。Google、Microsoft、AWS 和 Red Hat 等科技巨头的重大项目都受到了影响,可能允许攻击者未经授权访问私有存储库、源代码盗窃和注入恶意代码。

该问题源于不安全的默认设置、用户配置错误和安全检查不足的综合作用。具体来说,GitHub 工作流中的“actions/checkout”操作可以将 GitHub 令牌保留在本地 .git 目录中,如果错误地作为工件的一部分上传,则会暴露这些敏感令牌。这个问题被 Unit 42 称为“ArtiPACKED”,还可能暴露其他敏感信息,如 API 密钥和云服务访问令牌。

尽管问题很严重,但 GitHub 决定不直接解决潜在风险,而是敦促用户自己保护他们的工件。这导致人们呼吁 GitHub 用户彻底了解这些风险,评估他们的风险敞口,并采取措施防止未来的泄漏。来源