GitHub Actions - Commandes Non Sécurisées

Évitez d'utiliser des commandes non sécurisées dans les workflows GitHub Actions afin de minimiser le risque d'attaques par injection ou d'exécution accidentelle de scripts malveillants. Utilisez un bon échappement, une validation adéquate et une gestion sécurisée des entrées dans les fichiers de workflow.

Exemples

Exemple non sécurisé

L'utilisation d'entrées non échappées ou mal validées peut mener à des attaques par injection :

jobs:
  build:
    runs-on: ubuntu-latest
    steps:
      - name: Exécuter un script non sécurisé
        run: echo $INPUT_PARAMETER

Si INPUT_PARAMETER contient du code malveillant (par exemple, $(rm -rf /)), il pourrait exécuter des commandes non désirées.

Exemple sécurisé

Validez et échappez en toute sécurité toutes les entrées pour prévenir les injections :

jobs:
  build:
    runs-on: ubuntu-latest
    steps:
      - name: Exécuter un script sécurisé
        run: echo "${{ github.event.inputs.parameter }}"

Cela garantit que seules les valeurs attendues sont passées et exécutées.

Plus d'informations

• Meilleures pratiques de sécurité pour GitHub Actions