Aller au contenu

Secret d'organisation GitHub visible depuis les dépôts publics

Vérifie les organisations GitHub qui ont des secrets au niveau de l'organisation pouvant être accessibles par des workflows provenant de dépôts publics.

Autoriser un secret au niveau de l'organisation de GitHub Action à être visible depuis n'importe quel workflow public peut être risqué si vous fusionnez régulièrement des Pull Requests provenant de dépôts forkés d'externes. Si cela n'est pas soigneusement audité, la contribution externe pourrait potentiellement exfiltrer le secret. Vous devez donc minimiser le nombre de secrets au niveau de l'organisation ayant une visibilité publique. Par défaut, vous devez toujours préférer configurer les dépôts en tant que privés, à un nombre limité de dépôts ou utiliser des secrets au niveau des dépôts à la place. Les secrets au niveau de l'organisation sont pratiques pour simplifier l'approvisionnement de secrets à grande échelle, mais ils confèrent un grand pouvoir à ceux qui ont un accès en écriture pour modifier les workflows.

Exemples

Exemple Insecure

Configuration de secret au niveau de l'organisation non sécurisée

Exemple Securisé

Privé Configuration de secret au niveau de l'organisation sécurisée

Dépôts sélectionnés Configuration de secret au niveau de l'organisation sécurisée