我正在通过Github操作构建我的一个公司项目,在该项目中,我们根据提出的最新拉取请求运行工作流。我注意到一件事,每当它试图从主存储库执行秘密时,它都会将错误视为错误凭据。在同一阶段,当我尝试从主存储库运行时,它运行良好。我们是否已授予一些权限,可以从主存储库中提取调用机密的请求。
任何建议都会有所帮助。
默认情况下,拉请求构建无法访问机密,以防止人们使用拉请求通过读取环境并将数据发送到其他地方的更改来泄露机密。
由于PR自动处理固有的危险,GitHub的标准pull_request工作流触发器默认情况下会阻止对目标存储库的写入权限和机密访问。然而,在某些情况下,需要这样的访问才能正确处理PR。为此,引入了pull_request_target工作流触发器。
请参阅此处了解更多详细信息:
- https://securitylab.github.com/research/github-actions-preventing-pwn-requests/