Säkerhetskontroll

GitHub Actions: CI:n är en väg rakt in i era secrets

Ett komprometterat eller opinnat GitHub Action kan exfiltrera era secrets och pusha kod. Vi kontrollerar era workflows behörigheter och tredjepartsberoenden och pekar ut riskerna.

Kör gratis domänscan Alla kontroller →
Berör: NIS2 · art. 21 — leverantörskedja ISO 27001 · A.8.28 säker kodning SLSA · supply-chain OWASP · CI/CD-SEC

Vad kontrolleras?

Vi granskar era workflows: har GITHUB_TOKEN för breda behörigheter (write i stället för read), pinnas tredjepartssteg till en commit-SHA eller bara en flyttbar tagg, körs pull_request_target osäkert, och exponeras secrets mot forks?

Varför spelar det roll?

GitHub Actions har åtkomst till era secrets och er kod. Ett opinnat tredjepartssteg som kapas (eller en skadlig PR mot ett osäkert workflow) kan exfiltrera allt. Detta är en av de snabbast växande supply-chain-attackvägarna.

Hur Security Guru testar det

Vanliga fel

  • permissions: write-all när read hade räckt
  • uses: actor/action@main — flyttbar tagg, kan kapas
  • pull_request_target som checkar ut och kör PR-kod
  • Secrets tillgängliga i workflows som triggas av externa forks

Vad du får i rapporten

  • Workflows med för breda behörigheter
  • Opinnade tredjepartssteg som bör låsas till SHA
  • Osäkra trigger-mönster med secrets-exponering
  • Mappning mot SLSA / OWASP CI/CD-SEC

Vanliga frågor

Varför pinna till SHA?

En tagg som @v3 kan flyttas av actionens ägare (eller en angripare som kapar kontot). En commit-SHA är oföränderlig — ni kör exakt den kod ni granskat.

Vad är farligt med pull_request_target?

Den kör med era secrets men mot kod från en extern PR — en klassisk väg att exfiltrera secrets. Vi flaggar osäkra mönster.

Läser ni vår kod?

Vi läser workflow-konfigurationen via API:t; ingen kod klonas för denna kontroll.

Vill du veta din status?

Kör en gratis scan eller beställ en full Security Assessment — prioriterat, inte brus.

Kör gratis domänscan