Ett komprometterat eller opinnat GitHub Action kan exfiltrera era secrets och pusha kod. Vi kontrollerar era workflows behörigheter och tredjepartsberoenden och pekar ut riskerna.
Kör gratis domänscan Alla kontroller →Vi granskar era workflows: har GITHUB_TOKEN för breda behörigheter (write i stället för read), pinnas tredjepartssteg till en commit-SHA eller bara en flyttbar tagg, körs pull_request_target osäkert, och exponeras secrets mot forks?
GitHub Actions har åtkomst till era secrets och er kod. Ett opinnat tredjepartssteg som kapas (eller en skadlig PR mot ett osäkert workflow) kan exfiltrera allt. Detta är en av de snabbast växande supply-chain-attackvägarna.
permissions-blockpull_request_target-mönsterpermissions: write-all när read hade räcktuses: actor/action@main — flyttbar tagg, kan kapaspull_request_target som checkar ut och kör PR-kodVarför pinna till SHA?
En tagg som @v3 kan flyttas av actionens ägare (eller en angripare som kapar kontot). En commit-SHA är oföränderlig — ni kör exakt den kod ni granskat.
Vad är farligt med pull_request_target?
Den kör med era secrets men mot kod från en extern PR — en klassisk väg att exfiltrera secrets. Vi flaggar osäkra mönster.
Läser ni vår kod?
Vi läser workflow-konfigurationen via API:t; ingen kod klonas för denna kontroll.
Kör en gratis scan eller beställ en full Security Assessment — prioriterat, inte brus.
Kör gratis domänscan