気に入った記事をブックマーク
- 気に入った記事を保存できます
保存した記事の一覧は、はてなブックマークで確認・編集ができます
- 記事を読んだ感想やメモを書き残せます
- 非公開でブックマークすることもできます
エントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
15 usersがブックマーク
4
4
Keeping your GitHub Actions and workflows secure Part 2: Untrusted input
15 users
securitylab.github.com/research
securitylab.github.com/research
記事へのコメント4件
- 注目コメント
- 新着コメント
Kesin
Github ActionsのDSLとしての機能が豊富なのは便利だったけど、こうしてみるとパンドラの箱を開けてしまった感がある。envにセットして環境変数として参照すれば直接評価されないので対策になるということか
efcl
GitHub Actionsで `${{ github.event.* }}` でユーザー入力をそのまま`run:`に埋め込むとをシェルスクリプトとして評価してしまう問題について。 基本的には `env:` 経由で渡すことで、任意のコード実行はできないようにする
miya-jan
GitHub Actions で context として受け取れる issue 本文などのユーザーインプットを下手に扱うと発生する脆弱性について。特に expressions でスクリプトにそのまま埋め込むと危険。
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
いまの話題をアプリでチェック!
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
Keeping your GitHub Actions and workflows secure Part 2: Untrusted input
Keeping your GitHub Actions and workflows secure Part 2: Untrusted input Jaroslav Lobacevski This... Keeping your GitHub Actions and workflows secure Part 2: Untrusted input Jaroslav Lobacevski This post is the second in a series of posts about GitHub Actions security. Part 1, Part 3 We previously discussed the misuse of the pull_request_target trigger within GitHub Actions and workflows. In this follow-up piece, we will discuss possible avenues of abuse that may result in code and command inject
ブックマークしたユーザー
すべてのユーザーの
詳細を表示します
詳細を表示します
securitylab.github.com/research
securitylab.github.com/research
securitylab.github.com/research
securitylab.github.com/research
demon-kakka.jp
www1.meijo-u.ac.jp/~tnagata
jp.quora.com
togetter.com
findy-code.io
anond.hatelabo.jp
togetter.com
www.itmedia.co.jp
forest.watch.impress.co.jp
anond.hatelabo.jp
togetter.com
www.nikkei.com
www.nikkei.com
netafull.net
ayame2nd.blog.jp
2021/08/01 リンク