Безопасность GitHub Actions: модель угроз, атаки и меры защиты. Часть 1

19.05.2026 14:26:11 | Хабр

Хабы: Блог компании OTUS, Информационная безопасность, DevOps, Open source

GitHub Actions давно стал одной из самых опасных точек в supply chain. Ошибка в workflow может открыть доступ к секретам, токенам и инфраструктуре — именно так развивались атаки на tj-actions, Ultralytics и Trivy.

В статье разберем, как работают уязвимости вокруг pull_request_target, expression injection и сторонних actions, и почему «просто CI» сегодня требует полноценной threat model.

Разбор атак

Подробнее

Читайте также

Java нас обманывает: скрытая цена чистого кода
19.05.2026 14:25:03 | Хабр

Внебиржевой курс доллара опускался до 71 рубля впервые с февраля 2023 года
19.05.2026 14:15:14 | vc.ru

Природа сотрудничества и в чем заблуждается теория игр
19.05.2026 13:45:52 | Хабр

«They did a blow job on the sidewalk» и другие ляпы айтишников в английском на международке
19.05.2026 13:45:44 | Хабр

Ryzen 7, 16 ГБ ОЗУ и SSD на 1 ТБ: Machenike выпустила мини-ПК Mini GTR
19.05.2026 13:42:46 | ferra.ru

Очередная латиница для русского языка
19.05.2026 13:35:11 | Хабр

Известная смартфона и планшетами Red Magic представила игровую мышь из карбона
19.05.2026 13:33:21 | ferra.ru

От ручного заполнения документов к автоматизации: как собрать генератор шаблонных договоров в Telegram на Python
19.05.2026 13:30:17 | Хабр

Вы не уважаете моё время: почему ИИ-рекрутер — это хамство, а не инновация
19.05.2026 13:27:18 | Хабр

Делаем любимую механику беспроводной: BLE-адаптер для Kingston HyperX Alloy FPS на базе Raspberry Pi Pico W
19.05.2026 13:02:13 | Хабр

«А с человеком можно поговорить?» Кто проверит и оценит результат работы ИИ, когда всех уже сократили?
19.05.2026 13:01:15 | Хабр

GDDRHammer и GeForge— анатомия атак, превративших видеопамять в оружие
19.05.2026 13:00:10 | Хабр

Мой универсальный код
19.05.2026 12:58:32 | Хабр

It takes everybody: делегируем команде
19.05.2026 12:55:07 | Хабр

Я не хочу отдавать ребенка в школу
19.05.2026 12:39:30 | Хабр

Переезд с XML на Jetpack Compose на проде: базовые классы, архитектура, сложности и готовые решения
19.05.2026 12:33:38 | Хабр

Графы знаний в юридическом домене: эксперимент с LightRAG
19.05.2026 12:27:03 | Хабр

«Первая в мире носимая бутылка»: проводим патентное расследование
19.05.2026 12:17:36 | Хабр

Паттерны организационного дизайна: практическое руководство
19.05.2026 12:15:59 | Хабр

Кроссплатформенное приложение на Go руками PHP разработчика
19.05.2026 12:09:44 | Хабр

Сколько весит интернет: считаем массу данных и их хранилищ
19.05.2026 12:00:53 | Хабр

Как мы вывели в админку ошибки yt-dlp, которые жили только в логах. Bridge на 200 строк и борьба с alert-fatigue
19.05.2026 11:51:28 | Хабр

Можно ли вайбкодить на MacBook Neo: почти что настоящая разработка на самом дешевом ноутбуке Apple
19.05.2026 11:48:53 | Хабр

Сложности разработки на UE 4 и анонс на крупном медиа
19.05.2026 11:44:47 | Хабр

Мальта даст всем гражданам год бесплатного ChatGPT Plus
19.05.2026 11:42:45 | ferra.ru

ВТБ запустил оплату по QR-коду в Китае
19.05.2026 11:31:24 | vc.ru

Разбираемся в ML без воды: от базы до Attention. Часть 1
19.05.2026 11:23:12 | Хабр

Культ квантования: почему 3 битные LLM это диагноз, а не оптимизация
19.05.2026 11:15:21 | Хабр

Лунный масс-драйвер: что строить, если Starship закрыл Землю
19.05.2026 11:13:10 | Хабр

Рациональность как недооценённая компетенция: как управлять нагрузкой вместо вечного аврала
19.05.2026 11:02:25 | Хабр

Шесть интересных логических задач
19.05.2026 10:58:49 | Хабр

Я дал LLM писать unsafe Rust полгода. Miri плакал
19.05.2026 10:57:10 | Хабр

Связь между ростом бизнеса и информационными технологиями
19.05.2026 10:52:38 | Хабр

О чём говорили на ICLR 2026? Репортаж AIRI о поездке на конференцию в Рио
19.05.2026 10:42:54 | Хабр

Meta* перенаправит 7000 сотрудников на проекты по разработке ИИ — NYT
19.05.2026 10:41:39 | vc.ru

Смотреть все

НОВОСТИ

В Белгородской области при атаке дрона ВСУ на грузовик пострадал человек
19.05.2026 19:32:24 | ТАСС

Калининградский губернатор ответил на призывы Литвы об атаке по региону
19.05.2026 19:31:43 | Lenta.ru

Собянин: тысячи зданий отремонтированы в Донецке и Луганске силами Москвы
19.05.2026 19:31:07 | ТАСС

Рябков: РФ будет остужать "горячие головы" в НАТО военно-техническим парированием угроз
19.05.2026 19:30:45 | ТАСС

В Волгоградской области двух женщин арестовали после конфликта с несовершеннолетней
19.05.2026 19:30:41 | ТАСС

Создано эффективное средство для защиты зубов от кариеса
19.05.2026 19:29:37 | Lenta.ru

Врач назвала продукты для восполнения дефицита магния без добавок
19.05.2026 19:29:31 | Lenta.ru

Небензя назвал насмешкой идею о посредничестве Каллас в переговорах по Украине
19.05.2026 19:27:28 | Life.ru

Небензя посоветовал постпреду Украины учить русские поговорки по первоисточнику
19.05.2026 19:26:26 | ТАСС

DPA: в Дании намерены провести вскрытие горбатого кита Тимми
19.05.2026 19:25:34 | ТАСС

Журнал «Москвичка» стал партнёром «Цифровой индустрии промышленной России»
19.05.2026 19:24:42 | Life.ru

В Центральной России из-за аномальной жары ввели оранжевый уровень опасности
19.05.2026 19:24:04 | ТАСС

ЕС вопреки кризису отказался снижать пошлины на российские товары
19.05.2026 19:23:35 | Lenta.ru

Торжественное приветствие Путина в Китае попало на видео
19.05.2026 19:23:34 | Lenta.ru

Беспрозванных: оппоненты получат мгновенный ответ при нападении на Калининград
19.05.2026 19:23:30 | ТАСС

Собянин: экономика Москвы вышла на высокий уровень после пандемии
19.05.2026 19:21:57 | ТАСС

Небензя: Переговоры зашли в тупик, от Киева нет сигналов о готовности к миру
19.05.2026 19:21:47 | Life.ru

Екатерина Волкова перенесла операцию
19.05.2026 19:20:00 | Lenta.ru

Ставропольский судья не ушел от верховного // Раскрыта массовая коррупция в судейском корпусе
19.05.2026 19:19:53 | Коммерсантъ

Сбер хочет в перспективе использовать китайские чипы для работы "Гигачата"
19.05.2026 19:19:16 | ТАСС

В Поморье дети 7-12 лет из семей участников СВО освоили столярное дело
19.05.2026 19:18:10 | ТАСС

«Пришёл, когда ребёнка из меня вытащили»: Федункив разнесла сторонников партнёрских родов
19.05.2026 19:16:53 | Life.ru

Почему американцы готовы похитить 94-летнего Рауля Кастро
19.05.2026 19:16:00 | Российская Газета

Небензя назвал "насмешкой" разговор о Каллас в роли посредника на переговорах
19.05.2026 19:15:00 | Российская Газета

Обруганная стилистами за образ блогерша ответила фразой «я либо слепая, либо не понимаю»
19.05.2026 19:13:31 | Lenta.ru

«Большой друг нашей страны»: Китайцы рады приезду Путина в Китай
19.05.2026 19:12:58 | Life.ru

В российском заповеднике зацвели сердечные ягоды
19.05.2026 19:12:07 | Lenta.ru

Звезда «Уральских пельменей» высказалась о ревности жен коллег к ней
19.05.2026 19:11:09 | Lenta.ru

Россиянин расправился с соседями и скрылся на даче
19.05.2026 19:11:05 | Lenta.ru

В Сургуте задержали мужчину за дебош на борту самолета Москва - Иркутск
19.05.2026 19:09:12 | ТАСС

В Ленинградской области в акватории реки Волхов утонула девочка
19.05.2026 19:08:32 | ТАСС

В России откроют центр компетенций для усовершенствования дата-центров
19.05.2026 19:08:30 | ТАСС

В Москве уроженца Украины осудили на 25 лет за госизмену, терроризм и диверсии
19.05.2026 19:08:12 | Life.ru

Китай организовал для Путина торжественную приветственную церемонию
19.05.2026 19:07:22 | Lenta.ru

Постпред КНР при ООН: коренные причины конфликта на Украине нужно устранить
19.05.2026 19:05:16 | ТАСС

Все новости

ВСЕ НОВОСТИ

ПИШИТЕ

Техническая поддержка проекта ВсеТут

info@vsetut.pro