Aller au contenu

GitHub Actions ont des permissions de lecture / écriture

Vérifie les organisations GitHub qui accordent des permissions de lecture/écriture aux GitHub Actions pour l'API GitHub.

Autoriser les GitHub Actions Workflows à demander des jetons pour l'API GitHub avec des privilèges élevés, pouvant effectuer des actions d'écriture via l'API (comme déclencher d'autres Workflows ou mettre à jour le contenu du dépôt) représente un risque pour la sécurité. Un système d'intégration continue (CI), tel que GitHub Action, doit être conçu et configuré aussi sécuritairement que les systèmes de production. En effet, puisque les artefacts générés par un tel système sont souvent déployés automatiquement (CD / Déploiement Continu), toute compromission de CI/CD affectera indirectement la production, car du code malveillant peut se retrouver en production.

Exemples

Exemple Insecure

Configuration Insecure des GitHub Actions

Exemple Securisé

Configuration Securisée des GitHub Actions