GitHub Actions biztonsága

Editors' Pick

A Wiz.io 2025 útmutatója részletesen bemutatja, hogyan lehet megerősíteni a GitHub Actions biztonságát, különös tekintettel a közelmúltbeli ellátási lánc támadások tanulságaira. Az útmutató célja, hogy segítsen a fejlesztőknek és DevOps csapatoknak biztonságosabb CI/CD folyamatokat kialakítani.

A dokumentum kiemeli, hogy a GitHub Actions alapértelmezett beállításai nem mindig felelnek meg a legjobb biztonsági gyakorlatoknak. Például a munkafolyamatokhoz kapcsolódó tokenek alapértelmezetten írási jogosultságokkal rendelkeznek, ami növeli a kockázatot. A Wiz javasolja, hogy ezeket a jogosultságokat állítsuk csak olvasható módba, és csak akkor adjunk írási hozzáférést, ha az feltétlenül szükséges.

Az útmutató hangsúlyozza a megbízható forrásból származó Actions használatának fontosságát. Ajánlott csak a GitHub által karbantartott vagy a Marketplace-ben ellenőrzött fejlesztők által készített Actions-t használni. Továbbá érdemes engedélyezési listát (allowlist) létrehozni, amely meghatározza, hogy mely Actions használhatók a szervezetben.

A saját üzemeltetésű futtatók (self-hosted runners) esetében a Wiz azt tanácsolja, hogy korlátozzuk ezek használatát csak meghatározott repókra, és alkalmazzunk engedélyezési listákat a munkafolyamatokhoz. Ez segít megelőzni, hogy illetéktelen vagy rosszindulatú kód fusson le a CI/CD környezetben.

A dokumentum kitér a GitHub Actions engedélyezése pull requestek létrehozására és jóváhagyására beállítás veszélyeire is. Ennek engedélyezése lehetőséget adhat a munkafolyamatoknak, hogy automatikusan módosítsák vagy jóváhagyják a pull requesteket, ami biztonsági kockázatot jelenthet. A Wiz javasolja, hogy ezt a beállítást kapcsoljuk ki, és a pull requestek jóváhagyását hagyjuk meg manuális folyamatként.

Az útmutató hangsúlyozza a branch protection szabályok alkalmazásának fontosságát is. Ezek a szabályok biztosítják, hogy csak ellenőrzött és jóváhagyott kód kerüljön a fő vagy kiadási ágakba, csökkentve ezzel a rosszindulatú kód bejutásának esélyét.

A közelmúltbeli támadások, mint például a tj-actions/changed-files és a reviewdog/action-setup ellátási lánc kompromittálása, rámutattak arra, hogy milyen könnyen kihasználhatók a GitHub Actions sebezhetőségei. Ezek az incidensek megerősítik az útmutatóban leírt biztonsági intézkedések szükségességét.

FORRÁS