Github被發(fā)現(xiàn)存在一個(gè)高危漏洞，基本上所有擁有復(fù)雜Github Actions的項(xiàng)目都容易被攻擊。這個(gè)CVE代號(hào)為CVE-2020-15228的漏洞是由Google旗下著名的Project Zero網(wǎng)絡(luò)安全團(tuán)隊(duì)在7月份時(shí)發(fā)現(xiàn)的。由于Project Zero之前改變了其對(duì)于公布漏洞的政策，因此他們給了Github整整90天的時(shí)間去修復(fù)這個(gè)漏洞。Github其后在10月份時(shí)棄用了易受攻擊的指令，并且也使用戶發(fā)出了安全警示提醒他們要盡快更新工作流。而在10月中的時(shí)候，Project Zero又給予了Github額外14天的寬限期。就在這個(gè)限期屆滿前，Github向Project Zero申請(qǐng)延長(zhǎng)限期48小時(shí)來通知更多的用戶以及決定甚么時(shí)候可以修好這個(gè)漏洞。

CV-2020-15228是一個(gè)代碼注入攻擊，而Github Actions中的各種工作流指令是極為容易受到這類攻擊。這些指令是在執(zhí)行動(dòng)作以及Action Runner中的溝通渠道存在的。Google高級(jí)信息安全工程師Felix Wilhem在一份Project Zero的報(bào)告中表示：

“這個(gè)功能(工作流指令)的最大問題在于它極易受到代碼注入攻擊。當(dāng)運(yùn)行程序在解析STDOUT上的每一行文字嘗試尋找工作流指令時(shí)，所有列出未受信任內(nèi)容所為執(zhí)行的一部分的Github動(dòng)作都很容易被攻擊。在大多數(shù)情況下，可設(shè)置任意環(huán)境變量這個(gè)特性，只要當(dāng)另一個(gè)工作流在執(zhí)行后，最終都很有可能會(huì)被用作遠(yuǎn)程執(zhí)行代碼。我花了些時(shí)間在Github的存儲(chǔ)庫(kù)中檢查，發(fā)現(xiàn)只要是有點(diǎn)復(fù)雜的Github動(dòng)作都容易被攻擊。”

Felix Wilhem還表示，Github要修復(fù)這個(gè)漏洞會(huì)是比較困難的，因?yàn)楣ぷ髁髦噶畹膶?shí)現(xiàn)方式從根本上來說是不安全的，棄用那些部分指令只是一個(gè)臨時(shí)的解決方法，要徹底修復(fù)就需要把工作流指令移動(dòng)到其他地方，雖然這樣做會(huì)破壞掉某些依賴其的代碼。