Safer pull_request_target defaults for GitHub Actions checkout——GitHub Changelog
概要
GitHub Actionsにおいて最も悪用されやすいトリガーの一つ「pull_request_target」のcheckoutデフォルト動作がより安全な設定に変更された。これにより、フォーク元PRがワークフロー内の機密にアクセスしやすい脆弱性が軽減される。
詳細
pull_request_targetは外部コントリビューターのPRにも書き込み権限トークンが渡るため悪用例が多い- checkoutアクションのデフォルト動作を変更し、安全なリファレンスをチェックアウトするよう改善
- これまでのワークフローの脆弱性パターンに対処
- 既存のワークフローへの影響も考慮した移行方針が示された
- GitHub Actionsのセキュリティ強化施策の一環