zizmor 真的很棒!已经用上了~
就是要补充一点,根据我个人的实践经历,zizmor 或者其他对 GitHub Action 配置做静态扫描的工具并不总是能给出合理的权限建议。经常要么直接把 Action 搞挂,要么给出的权限并不是最小的
这里建议使用 https://github.com/GitHubSecurityLab/actions-permissions ,可以精确测到每个 job 所需的权限
最后要提醒的是:工具只是辅助。GitHub Action 能设置的最小粒度是 job 级别的权限。如果你把所有步骤都塞到一个 job 里,那很难通过限制 job 的权限来减小攻击面。合理的编排和组织,是仓库管理者的必修课
就是要补充一点,根据我个人的实践经历,zizmor 或者其他对 GitHub Action 配置做静态扫描的工具并不总是能给出合理的权限建议。经常要么直接把 Action 搞挂,要么给出的权限并不是最小的
这里建议使用 https://github.com/GitHubSecurityLab/actions-permissions ,可以精确测到每个 job 所需的权限
最后要提醒的是:工具只是辅助。GitHub Action 能设置的最小粒度是 job 级别的权限。如果你把所有步骤都塞到一个 job 里,那很难通过限制 job 的权限来减小攻击面。合理的编排和组织,是仓库管理者的必修课
