Lühidalt: GitHub blokeerib vaikimisi automaatse koodi laadimise forgitest pärit Pull Requestest privileegitud töövoogudes, et takistada ründajatel GITHUB_TOKEN ja keskkonnmuutujate varastamist.
GitHub on June 2026 alates lukustanud action’is actions/checkout v7 vaikimisi automaatse koodi väljaregistreerimise välistest forgitest, et takistada Pwn-Request-rünnakuid. Meede kantakse alates juulist 2026 üle kõigile toetatud versioonidele.
Alates 18. juunist 2026 keeldub actions/checkout v7 automaatselt koodi tõmbamisest Pull Requestest, mis pärinevad hoidla forgitest (forks), kui neid käivitavad pull_request_target või workflow_run töövood. Arendajad saavad seda blokeerimist keelata ainult parameeter allow-unsafe-pr-checkout sõnaselgelt väärtusele true seadistades. See muudatus levitakse tagasiulatuvalt kuni 16. juulini 2026 kõigile praegu toetatud põhiversioonidele.
Taustal on teadaolev oht GitHub Actionstes: trigger pull_request_target käivitab automatiseerimise, niipea kui Pull Request forgitest avatakse või uuendatakse. Need töövood käivituvad sihthoiul ja saavad juurdepääsu GITHUB_TOKEN’ile lugemis- ja kirjutusõigusega, samuti vaikimisi haru keskkonnmuutujatele ja saladusele. Kui kontrollimata Pull Request sisaldab pahavara ja see laetakse actions/checkout kaudu, saavad ründajad need privileegitud token’id varastada ja käivitada täielike töövoo õigustega suvalise koodi. Sellised rünnakud on minevikus kompromiitinud Nx-Build-süsteemi pakette, PostHogi, TanStack’i ja Emacsi pakett kubernetes-el hoidlaid.
Analüüsiettevõtte Socket turvalisusanalüütikud rõhutavad siiski, et uuendus pole ammendav lahendus. Blokeerimise levik toimib ainult otsese väljaregistreerimise puhul actions/checkout kaudu. Käsitsi git-käsud, GitHub CLI, alternatiivsed trigger’id nagu issue_comment ja väljaspool seotud kolmandate osapoolte hoidlate väljaregistreerimised ei allu piirangule. Socket hoiatab: „See teeb sellest kaitseraja, mitte täieliku lahenduse GitHub Actionsi turvallisususel. Töövood, mis käivitavad saladuste, kirjutusõiguste, juurutamise õiguste või OIDC-avalduse juurdepääsuga, nõuavad jätkuvalt hoolikat ülevaatust.”
Allikas: www.it-daily.net · Avaldatud 25. juuni 2026
Lumi AI News — KI-abil kureeritud vastavalt EU AI Act artiklis 50. Parafraseering ja klassifikatsioon Lumi News Pipeline v1.7.1.