Ponto cego

Se há uma crítica que pode ser feita ao GitHub sobre isso, é que demorou muito para resolver uma fraqueza que é conhecida há anos.

O problema está no GitHub Actions, que permite que gatilhos executem fluxos de trabalho, incluindo pull_request, que processa bifurcações de terceiros sem dar acesso a segredos como chaves de API, tokens de serviço e credenciais. A desvantagem é que essa restrição impede que algumas automações funcionem, e é por isso que os desenvolvedores recorrem a um gatilho alternativo, pull_request_target, que concede o acesso necessário.

Em algum momento, os invasores perceberam que onde pull_request_target foi configurado descuidadamente com ações/checkout para extrair código fork não confiável, ele ofereceu uma porta dos fundos para os repositórios e seus segredos.

Juliana Ribeiro
Juliana Ribeiro

Juliana Ribeiro é uma respeitada e talentosa redatora que trabalha do Tudo SEO. Com um profundo entendimento das nuances do SEO e seu impacto na visibilidade digital, Juliana usa sua expertise para educar e inspirar os leitores.

Entrando na indústria da escrita como redatora freelancer, ela rapidamente subiu na hierarquia para se tornar uma voz confiável no campo do SEO. Sua jornada na revista é marcada por muitos artigos perspicazes que ajudaram muitas empresas a entender melhor e aproveitar o SEO para melhorar sua visibilidade online.

Juliana também dedicou uma grande parte de seu tempo para estudar as últimas tendências em SEO e manter-se atualizada sobre todas as mudanças no algoritmo do Google. Através de seu trabalho, ela se esforça para quebrar conceitos complexos em ideias fáceis de entender para profissionais de marketing de todos os níveis.