GitHub Actions é o Elo Mais Fraco da Cadeia de Suprimentos Open Source

Praticamente todos os incidentes de cadeia de suprimentos open source registrados nos últimos dezoito meses têm uma conexão direta com funcionalidades do GitHub Actions que operaram exatamente conforme esperado. A questão central é que o Actions se comporta como um gerenciador de pacotes desprovido de lockfile, hashes de integridade e visibilidade transitiva, elementos cruciais para a segurança.

Embora o conjunto de recursos oferecidos pelo GitHub Actions seja inegavelmente conveniente, sua arquitetura facilita a criação de combinações perigosas. O GitHub já está ciente da situação e planeja introduzir melhorias, contudo, a empresa adverte que a alteração das configurações padrão pode impactar negativamente os workflows já estabelecidos.