RSS トレイル・オブ・ビッツ ブログ
フォロー
zizmorのGitHub Actions静的アナライザーを強化しました
セキュリティ研究は、CIセキュリティを強化するためにGitHub Actions静的アナライザーであるzizmorを改善することを目的としていました。この研究は、攻撃者がTrivyの侵害のような設定ミスを悪用する脆弱性に対処しました。チームは、zizmorの機能を検証するために、オープンソースリポジトリから41,253のワークフローのテストコーパスを構築しました。このテストは、アンカーの使用はまれではあるものの、基盤となるプロジェクトに存在することを浮き彫りにしました。分析により、zizmor内の4つのアンカー処理バグが特定され、修正されました。さらに、チームはデシリアライゼーションのエッジケースと式評価バグに対処しました。チームは、zizmorの式評価をGitHubのテストと一致させました。テストアプローチには、実際のワークフローのダウンロード、zizmorの実行、および失敗への対処が含まれていました。チームの作業の結果、20件のイシューが提出され、15件のプルリクエストがマージされました。この研究は、GitHub Actionsを使用するオープンソースプロジェクトのセキュリティを改善することを目的としていました。これらの改善は、CIセキュリティを強化し、サプライチェーン攻撃を防ぐのに役立ちます。
