گیتهاب اکشنز؛ ضعیفترین حلقه زنجیره تأمین نرمافزار
در هجده ماه گذشته، تقریباً تمام حوادث بزرگ زنجیره تأمین نرمافزار متنباز ریشهشون به یه فایل YAML توی گیتهاب اکشنز برمیگرده. از ماینر ارز دیجیتال توی Ultralytics گرفته تا لیک شدن سیکرتهای ۲۳ هزار ریپو در ماجرای tj-actions، همهشون از فیچرهایی سوءاستفاده کردن که دقیقاً طبق مستندات گیتهاب کار میکنن. مشکل اصلی اینه که گیتهاب اکشنز یه ابزار CI سازمانی بوده که هیچوقت برای پول ریکوئستهای ناشناس و فورکهای عمومی بازطراحی نشده. این یعنی پیشفرضهاش برای دنیای متنباز خطرناکن.
این محتوا بهصورت خودکار با استفاده از هوش مصنوعی تولید شده است. بررسی نهایی آن پیش از استفاده توصیه میشود و مسئولیت استفاده از آن بهعهده کاربر است. برای مطالعه متن اصلی خبر،اینجا را کلیک کنید
