Мы утвердили статический анализатор GitHub Actions от zizmor

Исследование безопасности было направлено на улучшение статического анализатора GitHub Actions, zizmor, для повышения безопасности CI. Исследование рассмотрело уязвимости, где атакующие используют неправильные конфигурации, такие как компрометация Trivy. Команда создала тестовый корпус из 41 253 рабочих процессов из репозиториев с открытым исходным кодом для проверки возможностей zizmor. Этот тест показал, что использование якорей, хотя и редко, присутствует в фундаментальных проектах. Анализ выявил и исправил четыре ошибки обработки якорей внутри zizmor. Кроме того, команда рассмотрела краевые случаи десериализации и ошибки оценщика выражений. Команда синхронизировала оценщик выражений zizmor с тестами GitHub. Подход к тестированию включал в себя скачивание реальных рабочих процессов, запуск zizmor и устранение неисправностей. Работа команды привела к подаче 20 заявок и слиянию 15 запросов на включение. Исследование было направлено на улучшение безопасности для проектов с открытым исходным кодом, использующих GitHub Actions. Улучшения укрепляют безопасность CI и помогают предотвратить атаки на цепочку поставок.

We hardened zizmor's GitHub Actions static analyzer blog.trailofbits.com

RSS Hunter • 22 мая