Primer sobre Segurança no GitHub Actions: Modelo de Ameaças, Ataques e Defesas (Parte 1/2)

A Wiz mapeia o modelo de ameaças do GitHub Actions em três classes de ataque principais: configurações incorretas de pull_request_target (a classe "Pwn Request", explorada no comprometimento da cadeia de suprimentos do Trivy), onde autores de PRs de fork manipulam artefatos em checkout para obter execução com segredos da branch base; injeção de script via valores de contexto controlados pelo usuário não sanitizados, como github.event.issue.title ou github.head_ref, injetados em blocos run (a causa raiz do incidente Ultralytics/YOLO XMRig); e ações de terceiros comprometidas, ilustradas pelo ataque tj-actions, que encadeou quatro comprometimentos de ações sequenciais para atingir a Coinbase em 22.000 repositórios afetados. As defesas incluem evitar pull_request_target sempre que possível, vincular todas as entradas controladas pelo usuário a variáveis de ambiente intermediárias antes da execução do shell, e fixar ações de terceiros a commit SHAs em vez de tags mutáveis.