我们对 zizmor 的 GitHub Actions 静态分析器进行了硬化
一项安全研究旨在改进 GitHub Actions 静态分析工具 zizmor,以增强持续集成(CI)的安全性。该研究针对攻击者利用配置错误(如 Trivy 漏洞)所引发的安全问题进行了应对。研究团队从开源仓库中构建了一个包含 41,253 个工作流(workflows)的测试语料库,以验证 zizmor 的能力。测试结果表明,虽然 anchor 的使用较为罕见,但在基础项目中依然存在。分析工作识别并修复了 zizmor 中四个与 anchor 处理相关的漏洞。此外,团队还解决了反序列化边缘情况以及表达式评估器中的漏洞。团队使 zizmor 的表达式评估器与 GitHub 的测试保持一致。测试方法包括下载真实工作流、运行 zizmor 并修复失败项。团队的工作共提交了 20 个问题报告,并合并了 15 个拉取请求(pull requests)。本研究旨在提升使用 GitHub Actions 的开源项目的安全性。这些改进加强了 CI 安全性,有助于防范供应链攻击。
