GitHub Actions biztonsága
A Wiz.io 2025 útmutatója részletesen bemutatja, hogyan lehet megerősíteni a GitHub Actions biztonságát, különös tekintettel a közelmúltbeli ellátási lánc támadások tanulságaira. Az útmutató célja, hogy segítsen a fejlesztőknek és DevOps csapatoknak biztonságosabb CI/CD folyamatokat kialakítani.
A dokumentum kiemeli, hogy a GitHub Actions alapértelmezett beállításai nem mindig felelnek meg a legjobb biztonsági gyakorlatoknak. Például a munkafolyamatokhoz kapcsolódó tokenek alapértelmezetten írási jogosultságokkal rendelkeznek, ami növeli a kockázatot. A Wiz javasolja, hogy ezeket a jogosultságokat állítsuk csak olvasható módba, és csak akkor adjunk írási hozzáférést, ha az feltétlenül szükséges.
Az útmutató hangsúlyozza a megbízható forrásból származó Actions használatának fontosságát. Ajánlott csak a GitHub által karbantartott vagy a Marketplace-ben ellenőrzött fejlesztők által készített Actions-t használni. Továbbá érdemes engedélyezési listát (allowlist) létrehozni, amely meghatározza, hogy mely Actions használhatók a szervezetben.
A saját üzemeltetésű futtatók (self-hosted runners) esetében a Wiz azt tanácsolja, hogy korlátozzuk ezek használatát csak meghatározott repókra, és alkalmazzunk engedélyezési listákat a munkafolyamatokhoz. Ez segít megelőzni, hogy illetéktelen vagy rosszindulatú kód fusson le a CI/CD környezetben.
A dokumentum kitér a GitHub Actions engedélyezése pull requestek létrehozására és jóváhagyására beállítás veszélyeire is. Ennek engedélyezése lehetőséget adhat a munkafolyamatoknak, hogy automatikusan módosítsák vagy jóváhagyják a pull requesteket, ami biztonsági kockázatot jelenthet. A Wiz javasolja, hogy ezt a beállítást kapcsoljuk ki, és a pull requestek jóváhagyását hagyjuk meg manuális folyamatként.
Az útmutató hangsúlyozza a branch protection szabályok alkalmazásának fontosságát is. Ezek a szabályok biztosítják, hogy csak ellenőrzött és jóváhagyott kód kerüljön a fő vagy kiadási ágakba, csökkentve ezzel a rosszindulatú kód bejutásának esélyét.
A közelmúltbeli támadások, mint például a tj-actions/changed-files és a reviewdog/action-setup ellátási lánc kompromittálása, rámutattak arra, hogy milyen könnyen kihasználhatók a GitHub Actions sebezhetőségei. Ezek az incidensek megerősítik az útmutatóban leírt biztonsági intézkedések szükségességét.
