Aller au contenu

Toutes les actions GitHub sont autorisées à s'exécuter

Vérifie les organisations GitHub qui permettent l'exécution de tous les GitHub Actions sans aucune restriction.

Permettre aux GitHub Action Workflow de déclarer des tâches avec des étapes basées sur des actions tierces non fiables représente un risque de sécurité. Un système d'Intégration Continue (CI), tel que GitHub Action, doit être conçu et configuré aussi sécurément que les systèmes de production. En effet, puisque les artefacts générés par un tel système sont souvent déployés automatiquement (CD / Déploiement Continu), tout compromis du CI/CD affectera indirectement la production, car du code malveillant peut se retrouver en production.

Exemples

Exemple Insecure

Configuration Insecure de GitHub Action

Exemple Securisé

Configuration Securisé de GitHub Action