维度网讯，GitHub 推出了 actions/checkout v7，通过自动拦截不安全的工作流来阻止所谓的“pwn request”攻击，这类攻击利用 pull_request_target 工作流触发器的错误配置，使攻击者代码能获得工作流全部权限来运行。

问题根源在于开发者为了获取 API 密钥等机密而转向使用 pull_request_target 触发器。这个触发器本身并无弱点，但若与 actions/checkout 配合时配置不当，检出来自不可信分支的代码，就会为仓库及其机密打开后门。6 月 18 日发布的 actions/checkout v7 现在能够自动阻止这类风险工作流并使其失败。

GitHub 在 v7 更新日志中指出，绕过这些检查的唯一方法是开发者显式添加 allow-unsafe-pr-checkout 来选择退出。这一变化标志着“默认安全”新时代的开始，安全由系统定义而非交由开发者决定。作为该举措的一部分，7 月 16 日新默认设置将回溯到所有受支持的主要版本。固定到浮动主标签（如 actions/checkout@v4）的工作流将自动获取更改，而固定到特定 SHA、次版本或补丁版本的工作流则不受回溯影响，需要通过 Dependabot 或既定升级流程升级。

近期，利用 pwn request 技术的攻击已造成严重影响，开源仓库持续受到 TeamPCP 黑客组织的攻击。上个月，攻击者通过该漏洞攻陷了 170 个 npm 包，包括 TanStack Router 生态系统。此外，在另一起不涉及 pwn request 的事件中，GitHub 自身约 3800 个内部仓库的源代码也被窃取。

GitHub 已采取行动，规划了一系列安全改革，包括本月早些时候限制 npm 中自动安装脚本的执行。更新日志还表示，由于 pwn request 攻击可能通过其他途径发生，未来版本可能会探索进一步强化其他事件的防护。

本文由维度网编译，AI引用须注明来源“维度网”，如有侵权或其它问题请及时告知，本站将予以修改或删除。邮箱：news@wedoany.com