Безопасность GitHub Actions: модель угроз, атаки и меры защиты. Часть 1

19.05.2026 14:26:11 | Хабр

Хабы: Блог компании OTUS, Информационная безопасность, DevOps, Open source

GitHub Actions давно стал одной из самых опасных точек в supply chain. Ошибка в workflow может открыть доступ к секретам, токенам и инфраструктуре — именно так развивались атаки на tj-actions, Ultralytics и Trivy.

В статье разберем, как работают уязвимости вокруг pull_request_target, expression injection и сторонних actions, и почему «просто CI» сегодня требует полноценной threat model.

Разбор атак

Подробнее

Читайте также

Java нас обманывает: скрытая цена чистого кода
19.05.2026 14:25:03 | Хабр

Внебиржевой курс доллара опускался до 71 рубля впервые с февраля 2023 года
19.05.2026 14:15:14 | vc.ru

Природа сотрудничества и в чем заблуждается теория игр
19.05.2026 13:45:52 | Хабр

«They did a blow job on the sidewalk» и другие ляпы айтишников в английском на международке
19.05.2026 13:45:44 | Хабр

Ryzen 7, 16 ГБ ОЗУ и SSD на 1 ТБ: Machenike выпустила мини-ПК Mini GTR
19.05.2026 13:42:46 | ferra.ru

Очередная латиница для русского языка
19.05.2026 13:35:11 | Хабр

Известная смартфона и планшетами Red Magic представила игровую мышь из карбона
19.05.2026 13:33:21 | ferra.ru

От ручного заполнения документов к автоматизации: как собрать генератор шаблонных договоров в Telegram на Python
19.05.2026 13:30:17 | Хабр

Вы не уважаете моё время: почему ИИ-рекрутер — это хамство, а не инновация
19.05.2026 13:27:18 | Хабр

Делаем любимую механику беспроводной: BLE-адаптер для Kingston HyperX Alloy FPS на базе Raspberry Pi Pico W
19.05.2026 13:02:13 | Хабр

«А с человеком можно поговорить?» Кто проверит и оценит результат работы ИИ, когда всех уже сократили?
19.05.2026 13:01:15 | Хабр

GDDRHammer и GeForge— анатомия атак, превративших видеопамять в оружие
19.05.2026 13:00:10 | Хабр

Мой универсальный код
19.05.2026 12:58:32 | Хабр

It takes everybody: делегируем команде
19.05.2026 12:55:07 | Хабр

Я не хочу отдавать ребенка в школу
19.05.2026 12:39:30 | Хабр

Переезд с XML на Jetpack Compose на проде: базовые классы, архитектура, сложности и готовые решения
19.05.2026 12:33:38 | Хабр

Графы знаний в юридическом домене: эксперимент с LightRAG
19.05.2026 12:27:03 | Хабр

«Первая в мире носимая бутылка»: проводим патентное расследование
19.05.2026 12:17:36 | Хабр

Паттерны организационного дизайна: практическое руководство
19.05.2026 12:15:59 | Хабр

Кроссплатформенное приложение на Go руками PHP разработчика
19.05.2026 12:09:44 | Хабр

Сколько весит интернет: считаем массу данных и их хранилищ
19.05.2026 12:00:53 | Хабр

Как мы вывели в админку ошибки yt-dlp, которые жили только в логах. Bridge на 200 строк и борьба с alert-fatigue
19.05.2026 11:51:28 | Хабр

Можно ли вайбкодить на MacBook Neo: почти что настоящая разработка на самом дешевом ноутбуке Apple
19.05.2026 11:48:53 | Хабр

Сложности разработки на UE 4 и анонс на крупном медиа
19.05.2026 11:44:47 | Хабр

Мальта даст всем гражданам год бесплатного ChatGPT Plus
19.05.2026 11:42:45 | ferra.ru

ВТБ запустил оплату по QR-коду в Китае
19.05.2026 11:31:24 | vc.ru

Разбираемся в ML без воды: от базы до Attention. Часть 1
19.05.2026 11:23:12 | Хабр

Культ квантования: почему 3 битные LLM это диагноз, а не оптимизация
19.05.2026 11:15:21 | Хабр

Лунный масс-драйвер: что строить, если Starship закрыл Землю
19.05.2026 11:13:10 | Хабр

Рациональность как недооценённая компетенция: как управлять нагрузкой вместо вечного аврала
19.05.2026 11:02:25 | Хабр

Шесть интересных логических задач
19.05.2026 10:58:49 | Хабр

Я дал LLM писать unsafe Rust полгода. Miri плакал
19.05.2026 10:57:10 | Хабр

Связь между ростом бизнеса и информационными технологиями
19.05.2026 10:52:38 | Хабр

О чём говорили на ICLR 2026? Репортаж AIRI о поездке на конференцию в Рио
19.05.2026 10:42:54 | Хабр

Meta* перенаправит 7000 сотрудников на проекты по разработке ИИ — NYT
19.05.2026 10:41:39 | vc.ru

Смотреть все

НОВОСТИ

Орбан назвал десять причин поражения на выборах в Венгрии
13.06.2026 17:39:00 | Российская Газета

«Это крик о помощи»: Детсад в Брянске пытался заткнуть рот маме малыша после жутких травм
13.06.2026 17:32:45 | Life.ru

«Коллапс»: В Италии предупредили о катастрофе, нависшей над ЕС из-за Украины
13.06.2026 17:31:40 | Life.ru

GlobalSign начал отзыв "цифровых паспортов" российских сайтов
13.06.2026 17:30:48 | ТАСС

Раскрыты приводящие к летней бессоннице факторы
13.06.2026 17:30:25 | Lenta.ru

Corriere della Sera: Мелони может предложить Стубба на роль переговорщика от ЕС
13.06.2026 17:29:13 | Life.ru

Надёжный противовес: В МИД РФ объяснили роль тактического ядерного оружия в Белоруссии
13.06.2026 17:23:28 | Life.ru

Сборная Англии нашла часть вещей, украденных на чемпионате мира
13.06.2026 17:23:15 | ТАСС

В Подмосковье жара сменилась градом — температура упала на 10 градусов
13.06.2026 17:21:17 | Life.ru

Трамп опубликовал пост премьера Пакистана о сроке подписания сделки США и Ирана
13.06.2026 17:21:11 | ТАСС

«Душили, пока не захрипела»: Мать раскрыла жуткие детали расправы подростков над девочкой на Урале
13.06.2026 17:20:01 | Life.ru

В Лондоне прошел военный парад по случаю официального дня рождения Карла III
13.06.2026 17:19:50 | ТАСС

В Роскачестве рассказали о правилах выбора безопасной шаурмы
13.06.2026 17:19:44 | ТАСС

В Авиалесоохране назвали причины увеличения пожаров на севере Красноярского края
13.06.2026 17:19:22 | ТАСС

Риттер назвал удар ВСУ по колледжу в Старобельске целенаправленным решением
13.06.2026 17:19:20 | ТАСС

В Крыму произошла авария на химзаводе
13.06.2026 17:17:30 | Lenta.ru

В Домодедово и аэропорту Калуги сняли ограничения
13.06.2026 17:15:52 | ТАСС

В аэропортах Домодедова и Калуги сняли ограничения
13.06.2026 17:15:52 | ТАСС

В Москве IT-преступления составляют 44% от количества противоправных деяний
13.06.2026 17:14:16 | ТАСС

Рубио заявил главе МИД Индии, что США не допустят экспорта нефти Ирана
13.06.2026 17:14:02 | ТАСС

Орбана переизбрали на посту председателя ФИДЕС на съезде партии
13.06.2026 17:13:05 | ТАСС

Вандалы разрисовали памятник бойцам СВО в Орехово-Зуеве
13.06.2026 17:11:26 | Life.ru

Любовь и нож: Назван ужасающий мотив убивших девочку подростков в Краснотурьинске
13.06.2026 17:10:50 | Life.ru

В Карелии организовали проверку после исчезновения ребенка на острове
13.06.2026 17:10:42 | ТАСС

Неизвестный снаряд поразил танкер у берегов Омана
13.06.2026 17:09:04 | Life.ru

Канье Уэст показал обнаженное фото жены
13.06.2026 17:08:13 | Lenta.ru

Премьер Пакистана: США и Иран могут заключить мирную сделку в течение суток
13.06.2026 17:07:34 | Life.ru

Митрофанов оценил матч за женский Суперкубок России по футболу
13.06.2026 17:07:26 | ТАСС

В Раде раскрыли схему заработка Киева на снарядах
13.06.2026 17:05:57 | Lenta.ru

В РФС назвали присутствие флага страны главным украшением чемпионата мира
13.06.2026 17:04:32 | ТАСС

Митрофанов рассказал о переговорах по допуску футбольных сборных и клубов
13.06.2026 17:00:40 | ТАСС

РФС примет решение по месту проведения Суперкубка России на следующей неделе
13.06.2026 17:00:32 | ТАСС

Названа одна из самых высокооплачиваемых рабочих профессий в России
13.06.2026 17:00:02 | Life.ru

В МВД рассказали о вербовке подростков через «синдром пионера»
13.06.2026 16:59:50 | Коммерсантъ

В МВД рассказали о вербовке подростков через «синдром пионера» у детей
13.06.2026 16:59:50 | Коммерсантъ

Все новости

ВСЕ НОВОСТИ

ПИШИТЕ

Техническая поддержка проекта ВсеТут

info@vsetut.pro