k1LoW https://blog.hatena.ne.jp/k1LoW/ Copy/Cut/Paste/Hatena https://k1low.hatenablog.com/ Go GitHub Actions Security PoC 注意: 本エントリで紹介するツールは現時点でPoCな実装であり、効果や効率を保証するものではありません。 ちょっと前に社内でGitHub Actionsのサプライチェーン攻撃についての話題があがって、「なるほどー。今時は、リポジトリのコードだけの脆弱性や第三者コードの混入とかだけを気にしていても足りない時があるのか」いう感想でした。 いろいろな軽減策が提案されているので*1基本的にそれらを実践するが良いとする上で、「GitHub Actionsのサプライチェーンをたどって脆弱性スキャンとか危険なコード混入をチェックできたら意味あったりするかなあ」とふと思って、その「GitHub Actions… 190 <iframe src="https://hatenablog-parts.com/embed?url=https%3A%2F%2Fk1low.hatenablog.com%2Fentry%2F2021%2F09%2F02%2F083000" title="GitHub Actionsのサプライチェーンを構成しているDockerイメージやサードパーティActionのコード対して任意のコマンドを実行するツールを作ってみた - Copy/Cut/Paste/Hatena" class="embed-card embed-blogcard" scrolling="no" frameborder="0" style="display: block; width: 100%; height: 190px; max-width: 500px; margin: 10px 0px;"></iframe> Hatena Blog https://hatena.blog 2021-09-02 08:30:00 rich https://k1low.hatenablog.com/entry/2021/09/02/083000 1.0 100%