GitHub выпустил общедоступную бета-версию action-permissions — инструмента, который отслеживает рабочие процессы GitHub Actions и рекомендует минимальные разрешения, необходимые для их запуска.
Каждый рабочий процесс GitHub получает токен доступа к временному репозиторию (GITHUB_TOKEN). У этих токенов изначально был очень широкий набор разрешений с полным чтением и записью в репозиторий (кроме пул-реквестов от форков).
В 2021 году вышла более детализированная модель разрешений для токенов рабочих процессов, и сегодня разрешения по умолчанию для новых репозиториев и организаций установлены только для чтения. Однако значительное количество рабочих процессов по-прежнему использует маркер записи для всех из них из-за настроек разрешений рабочего процесса по умолчанию, фактически не требующих разрешений на запись.
Чтобы проверить, используется ли широкое разрешение по умолчанию для токенов рабочего процесса, нужно перейти к настройкам репозитория (или организации) -> выбрать «Действия» и проверить раздел «Разрешения рабочего процесса».
Применение принципа безопасности с наименьшими привилегиями и назначение минимально необходимых разрешений для токена репозитория в каждом рабочем процессе может быть потенциально критическим изменением, поскольку сложные процессы могут включать несколько действий, и разрешение легко пропустить. Одновременно сложно раскрыть полный набор привилегий, необходимых для более сложных определений рабочих процессов.
Чтобы более плавно перейти к модели токенов рабочего процесса с наименьшими привилегиями, вышел набор действий GitHub, которые позволяют отслеживать и перечислять привилегии, необходимые для рабочего процесса:
-
Monitor action устанавливает локальный прокси-сервер (информация не отправляется третьим лицам) в средство запуска рабочего процесса, а также собирает информацию о любых взаимодействиях API GitHub, инициированных рабочим процессом, и отображает рекомендуемые минимальные разрешения как часть сводки запуска рабочего процесса.
-
Advisor action способно суммировать рекомендации из нескольких запусков рабочего процесса. После применения рекомендуемых разрешений можно прекратить использование инструментов. Любые новые необходимые разрешения для будущих итераций рабочего процесса можно добавлять по мере необходимости.
В этой статье можно прочитать о том, как настроить CI/CD c помощью GitHub Actions.
ссылка на оригинал статьи https://habr.com/ru/articles/744684/
Добавить комментарий