• Sysdig показывает
  • Pull_request_target не только рискованно, но и заряженное оружие в чужих руках
  • Даже первые проекты безопасности, такие как Mititers, могут упасть на простое злоупотребление рабочим процессом GitHub

Эксперты обнародовали несколько критических слабостей в действиях GitHub, которые могут серьезно вступить в некоторые важные проекты с открытым исходным кодом.

Недавно изученное расследование Исследовательская группа Sysdig (TRT) обнаружил, как недоразумения, в частности триггеры Pull_request_target, могут захватить злоумышленников с помощью активного репозитория или извлечь конфиденциальную информацию регистрации.

Source