GitHub updated actions/checkout: pwn‑request protection in GitHub Actions

GitHub ažurirao actions/checkout: zaštita od pwn-request u GitHub Actions
Kolege, želim da skrenem pažnju: u oblasti sajber bezbednosti GitHub je ažurirao actions/checkout — sada podrazumevano odbija da checkout-uje kod iz fork-PR u pull_request_target.
Šta je važno:
- Promena (od 18.06.2026): odbijanje checkout-a iz forka po refs/pull/*/head ili merge; backport do 16.07.2026.
- Opcija allow-unsafe-pr-checkout: true omogućava eksplicitno isključivanje zaštite.
- Rizik: pull_request_target se pokreće sa GITHUB_TOKEN i tajnama — izvršenje tuđeg koda može ih ukrasti.
- Preporuke: koristiti pull_request, ograničiti prava workflow-a i ne izvršavati neprovereni kod.
Zašto je važno: smanjuje rizik napada na lanac snabdevanja softvera.
Kako Vi planirate da prilagodite CI/CD?
#GitHubActions #Sajberbezbednost #BezbednostLancaSnabdevanja #DevSecOps


Latest comments
No comments yet.