我有一个工作流程,通过使用来自someuser的外部操作来FTP文件:
- name: ftp deploy
uses: someuser/ftp-action@master
with:
config: ${{ secrets.FTP_CONFIG }}
这是安全问题吗?例如,someuser可以更改ftp-action@master以访问我的secrets.FTP_CONFIG吗?我应该将他们的操作复制/粘贴到我的工作流程中吗?
如果您使用ftp-action@master,那么每次工作流运行时,它都会获取操作的主分支并构建它。所以是的,我相信所有者可以更改代码以捕获机密并将其发送到他们控制的外部服务器。
为了避免这种情况,您可以做的是使用特定版本的操作并查看其代码。您可以使用提交哈希来引用所需的确切版本,例如ftp-action@efa82c9e876708f2fedf821563680e2058330de3。如果标记具有发布标记,则可以使用它。例如ftp-action@v1.0.0虽然,这可能不那么安全,因为标签可以更改。
或者,也可能是最安全的,是分叉操作存储库并引用您自己的副本。my-fork/ftp-action@master.
GitHub 帮助页面确实提到了:
对存储库具有写入访问权限的任何人都可以读取和使用密钥。
如果某人对存储库没有写入权限,则应该不存在安全问题。
如下所述,您应该指定正在使用的工作流的确切提交,以确保它不会在您不知情的情况下更改其行为。