Инструмент SAST на GitHub Marketplace gitleaks
Привет, пользователи Github и Gitleak!
Я хотел использовать инструмент SAST gitleaks / gitleaks-action, который доступен на торговой площадке gihub и соответствует нашим требованиям.
Меня беспокоит,
Поскольку сканер будет работать в общедоступных и частных репозиториях нашей организации GitHub, можно ли полностью доверять приложениям, доступным на Github Marketplace (который доступен бесплатно).
есть ли в требовании «Лицензия MIT» проверка на целостность доступного инструмента, чтобы конечные пользователи могли с уверенностью установить эти инструменты безопасности? После того, как репозиторий GitHub просканирован gitleaks, полученный результат остается защищенным?
Спасибо,
1 ответ
Ваш вопрос не дублируется, но очень похож на этот .
Ответ (к сожалению) НЕТ
Это НЕ полностью безопасно целевых приложений , доступных на Github Marketplace.
Здесь вы можете найти некоторые ссылки:
- Используйте действия GitHub на свой страх и риск
- Безопасность действий GitHub
- Безопасны ли действия Github в использовании?
- Усиление безопасности для действий GitHub
- Обеспечение безопасности ваших действий и рабочих процессов GitHub: ненадежный ввод
- Обеспечение безопасности действий и рабочих процессов GitHub: предотвращение запросов pwn
Поймите, что то же самое и с большинством библиотек, которые вы используете для кодирования ежедневно.
Действия Github на Github Marketplace, как правило, являются общедоступными репозиториями с открытым исходным кодом и не всегда поддерживаются крупными компаниями.
Большинство из них выполняют простые операции, которые вы можете проверить, взглянув на код репозитория, но владелец всегда может настроить вредоносные вещи глубоко внутри реализации.
Вот почему вам нужно знать об этом при выборе того или иного действия / библиотеки, а также быть осторожным и проверять код и его возможные уязвимости, прежде чем использовать их в своих проектах.
Будьте еще осторожнее, если вам нужно указать токен личного доступа (PAT) в качестве входной переменной.
Обратите внимание, что Github показывает проверенных пользователей на Marketplace, которых можно считать «доверенными».
Пример:
Надеюсь, не у всех есть такое мышление (делать злые дела), и сообщество в большинстве случаев помогает. Просто имейте в виду, что всегда могут быть некоторые риски (и некоторые инструменты безопасности могут с этим помочь).