Aller au contenu

--- # SOURCE_HASH: 98767745aec08da5df25e83d261e8a1c8e052a7a title: GitHub Actions ont des permissions de lecture / écriture
shortname: cicd-gha-read-write-token-permissions
description: Assurez-vous que les GitHub Actions n'ont pas de jeton de permissions de lecture / écriture.
anchor: cicd
pretty_name: CI/CD - Les GitHub Actions ont des permissions de lecture / écritur

{{ title }}

Vérifie les organisations GitHub qui accordent des permissions de lecture/écriture aux GitHub Actions pour l'API GitHub.

Autoriser les flux de travail des GitHub Actions à demander des jetons pour l'API GitHub avec des privilèges élevés, pouvant effectuer des actions d'écriture via l'API (comme déclencher d'autres flux de travail ou mettre à jour le contenu du dépôt) représente un risque pour la sécurité. Un système d'intégration continue (CI), tel que GitHub Action, doit être conçu et configuré aussi sécuritairement que les systèmes de production. En effet, puisque les artefacts générés par un tel système sont souvent déployés automatiquement (CD / Déploiement Continu), toute compromission de CI/CD affectera indirectement la production, car du code malveillant peut se retrouver en production.

Exemples

Exemple Insecure

Configuration Insecure des GitHub Actions

Exemple Securisé

Configuration Securisée des GitHub Actions