Plus de sécurité pour vos workflows d’action GitHub

mardi 27 juin 2023

Vous pouvez maintenant télécharger la première version bêta de actions-autorisations test – il s’agit d’un outil qui surveille vos workflows GitHub Actions et vous recommande les autorisations minimales requises pour les exécuter.

Chaque workflow GitHub obtient un jeton d’accès au référentiel temporaire (GITHUB_TOKEN). Ces jetons disposaient à l’origine d’un très large éventail d’autorisations avec un accès complet en lecture et en écriture au référentiel. Un modèle d’autorisation plus détaillé pour les jetons de flux de travail est en place depuis environ deux ans, et les autorisations standard pour les nouveaux référentiels et organisations sont désormais basées sur “Juste lu“ (Lecture seule) est défini. Cependant, il existe encore un nombre important de flux de travail qui ont encore un “Seulement écrire”-Utilisez des jetons (écriture uniquement) sans avoir besoin d’autorisations d’écriture. La modification de ce paramètre en lecture seule est une bonne pratique de sécurité.

Toutefois, la modification de ce paramètre en lecture seule peut potentiellement interrompre les workflows existants qui ne fonctionnent actuellement qu’avec des autorisations d’écriture. De plus, étant donné que les flux de travail peuvent effectuer diverses étapes en fonction des critères d’échec et de réussite, il peut être difficile de déterminer les autorisations complètes requises pour les définitions de flux de travail plus complexes.

La solution : Monitor Action et Advisor Action

Pour vous aider à passer à un modèle de jeton de workflow le moins privilégié, deux actions GitHub ont été publiées pour vous aider à surveiller et répertorier les autorisations requises pour un workflow GitHub spécifique :

• Mourir Surveiller l’action installe un proxy local (aucune information n’est envoyée à des tiers) dans votre exécuteur de workflow, collecte des informations sur toutes les interactions de l’API GitHub initiées par le workflow, puis affiche les autorisations minimales recommandées.
• Mourir Action du conseillerque vous pouvez également utiliser comme outil local, est capable de résumer les recommandations de plusieurs itérations du workflow.

Apprendre encore plus