GitHub Marketplace SAST工具漏洞
大家好,Github和Gitleak的用户,
我想使用一个SAST工具gitleaks / gitleaks-action,它可以在gihub市场上找到,它符合我们的需求。
我担心的是,
由于扫描仪将在我们的GitHub组织的公共和私有repo上运行,信任Github Marketplace (免费提供)上提供的应用程序是否完全安全。
“麻省理工学院许可证”要求是否进行了检查,以确保工具的完整性,以便最终用户可以放心地安装这些安全工具?在GitHub回购被gitleaks扫描后,所获得的结果是安全的吗?
谢谢,
回答 1
Stack Overflow用户
发布于 2021-06-02 22:00:09
您的问题没有重复,但它看起来很像。
答案是(不幸的) NO
信任Github Marketplace上提供的应用程序并不是完全安全的。
你可以在这里找到一些参考资料:
- Use GitHub actions at your own risk
- The Security of GitHub Actions
- Are Github Actions safe to use?
- Security hardening for GitHub Actions
- Keeping your GitHub Actions and workflows secure: Untrusted input
- Keeping your GitHub Actions and workflows secure: Preventing pwn requests
请理解,这与您每天编写代码时使用的大多数库是相同的。
Github Marketplace上的Github Actions通常是公开的开源存储库,并不总是由大公司支持。
它们中的大多数执行简单的操作,您可以通过查看存储库代码来检查这些操作,但所有者总是有可能在实现内部配置恶意的东西。
这就是为什么你在选择一个或另一个动作/库时需要意识到这一点,并在将代码用于自己的项目之前要谨慎并检查代码及其最终的漏洞。
如果需要通知Personal Access Token (PAT)作为输入变量,请更加小心。
请注意,Github在Marketplace上显示了经过验证的用户,这可以被认为是“受信任的”。
示例:
希望,并不是每个人都有这种心态(做恶意的事情),社区大部分时间都是有帮助的。只需注意,可能总会有一些风险(一些安全工具可以帮助解决这一问题)。
https://stackoverflow.com/questions/67804286
复制相似问题
腾讯云开发者
