11月初，谷歌公開披露了GitHub中的一個 "高"嚴重性安全問題，此前后者無法在104天內修復--超過了標準時限。不過，GitHub用戶現(xiàn)在會很高興地知道，這個安全漏洞終于被填補了。

該安全漏洞源自GitHub Actions中的工作流命令，它作為執(zhí)行動作和Action Runner之間的通信渠道極易受到注入攻擊。谷歌Project Zero的Felix Wilhelm最初報告了這個安全漏洞，他表示工作流命令的實現(xiàn)方式 "從根本上來說是不安全的"。短期的解決方案是廢止命令語法，而長期的修復方法是將工作流命令轉移到一些外鏈通道，但這也很棘手，因為這會破壞依賴性代碼。在GitHub未能在規(guī)定的104天內修復該問題后，谷歌于11月2日公開披露了該問題。

顯然，這給該公司帶來了一定的壓力，目前該漏洞已經被修復。補丁說明顯示，該修復方法與Wilhelm提出的短期解決方案一致。

停用add-path和set-env runner命令(#779)

更新了dotnet安裝腳本(#779)

幾天前，GitHub已經修復了這個問題，但現(xiàn)在已經被谷歌Project Zero團隊驗證，并在問題庫中標記。這樣一來，安全團隊報告的公開問題清單就減少到了9個。其中包括微軟、高通和蘋果等眾多廠商開發(fā)的軟件。唯一存在于谷歌自家軟件中的開放問題與Android上的指針泄露有關，但這一 "中等"嚴重性缺陷的狀態(tài)自2016年9月以來一直處于開放狀態(tài)。