Безопасность GitHub Actions: модель угроз, атаки и меры защиты. Часть 1

19.05.2026 14:26:11 | Хабр

Хабы: Блог компании OTUS, Информационная безопасность, DevOps, Open source

GitHub Actions давно стал одной из самых опасных точек в supply chain. Ошибка в workflow может открыть доступ к секретам, токенам и инфраструктуре — именно так развивались атаки на tj-actions, Ultralytics и Trivy.

В статье разберем, как работают уязвимости вокруг pull_request_target, expression injection и сторонних actions, и почему «просто CI» сегодня требует полноценной threat model.

Разбор атак

Подробнее

Читайте также

Java нас обманывает: скрытая цена чистого кода
19.05.2026 14:25:03 | Хабр

Внебиржевой курс доллара опускался до 71 рубля впервые с февраля 2023 года
19.05.2026 14:15:14 | vc.ru

Природа сотрудничества и в чем заблуждается теория игр
19.05.2026 13:45:52 | Хабр

«They did a blow job on the sidewalk» и другие ляпы айтишников в английском на международке
19.05.2026 13:45:44 | Хабр

Ryzen 7, 16 ГБ ОЗУ и SSD на 1 ТБ: Machenike выпустила мини-ПК Mini GTR
19.05.2026 13:42:46 | ferra.ru

Очередная латиница для русского языка
19.05.2026 13:35:11 | Хабр

Известная смартфона и планшетами Red Magic представила игровую мышь из карбона
19.05.2026 13:33:21 | ferra.ru

От ручного заполнения документов к автоматизации: как собрать генератор шаблонных договоров в Telegram на Python
19.05.2026 13:30:17 | Хабр

Вы не уважаете моё время: почему ИИ-рекрутер — это хамство, а не инновация
19.05.2026 13:27:18 | Хабр

Делаем любимую механику беспроводной: BLE-адаптер для Kingston HyperX Alloy FPS на базе Raspberry Pi Pico W
19.05.2026 13:02:13 | Хабр

«А с человеком можно поговорить?» Кто проверит и оценит результат работы ИИ, когда всех уже сократили?
19.05.2026 13:01:15 | Хабр

GDDRHammer и GeForge— анатомия атак, превративших видеопамять в оружие
19.05.2026 13:00:10 | Хабр

Мой универсальный код
19.05.2026 12:58:32 | Хабр

It takes everybody: делегируем команде
19.05.2026 12:55:07 | Хабр

Я не хочу отдавать ребенка в школу
19.05.2026 12:39:30 | Хабр

Переезд с XML на Jetpack Compose на проде: базовые классы, архитектура, сложности и готовые решения
19.05.2026 12:33:38 | Хабр

Графы знаний в юридическом домене: эксперимент с LightRAG
19.05.2026 12:27:03 | Хабр

«Первая в мире носимая бутылка»: проводим патентное расследование
19.05.2026 12:17:36 | Хабр

Паттерны организационного дизайна: практическое руководство
19.05.2026 12:15:59 | Хабр

Кроссплатформенное приложение на Go руками PHP разработчика
19.05.2026 12:09:44 | Хабр

Сколько весит интернет: считаем массу данных и их хранилищ
19.05.2026 12:00:53 | Хабр

Как мы вывели в админку ошибки yt-dlp, которые жили только в логах. Bridge на 200 строк и борьба с alert-fatigue
19.05.2026 11:51:28 | Хабр

Можно ли вайбкодить на MacBook Neo: почти что настоящая разработка на самом дешевом ноутбуке Apple
19.05.2026 11:48:53 | Хабр

Сложности разработки на UE 4 и анонс на крупном медиа
19.05.2026 11:44:47 | Хабр

Мальта даст всем гражданам год бесплатного ChatGPT Plus
19.05.2026 11:42:45 | ferra.ru

ВТБ запустил оплату по QR-коду в Китае
19.05.2026 11:31:24 | vc.ru

Разбираемся в ML без воды: от базы до Attention. Часть 1
19.05.2026 11:23:12 | Хабр

Культ квантования: почему 3 битные LLM это диагноз, а не оптимизация
19.05.2026 11:15:21 | Хабр

Лунный масс-драйвер: что строить, если Starship закрыл Землю
19.05.2026 11:13:10 | Хабр

Рациональность как недооценённая компетенция: как управлять нагрузкой вместо вечного аврала
19.05.2026 11:02:25 | Хабр

Шесть интересных логических задач
19.05.2026 10:58:49 | Хабр

Я дал LLM писать unsafe Rust полгода. Miri плакал
19.05.2026 10:57:10 | Хабр

Связь между ростом бизнеса и информационными технологиями
19.05.2026 10:52:38 | Хабр

О чём говорили на ICLR 2026? Репортаж AIRI о поездке на конференцию в Рио
19.05.2026 10:42:54 | Хабр

Meta* перенаправит 7000 сотрудников на проекты по разработке ИИ — NYT
19.05.2026 10:41:39 | vc.ru

Смотреть все

НОВОСТИ

Глава Гонконга: число туристов из РФ в городе выросло с января по апрель на 56%
11.06.2026 04:56:24 | ТАСС

США завершили новую серию ударов по Ирану, опубликовав видео ракетных запусков
11.06.2026 04:56:14 | Life.ru

Силы ПВО отражают атаку украинских дронов на Краснодарский край
11.06.2026 04:52:45 | Life.ru

Глава Гонконга пригласил российский бизнес в проект Northern Metropolis
11.06.2026 04:51:38 | ТАСС

«Работают даже в Африке»: Life.ru выяснил, стоит ли верить прогнозу о массовой поломке кондиционеров
11.06.2026 04:48:59 | Life.ru

«Работают даже в Африке»: Life.ru выяснил, стоит ли верить прогнозу о массовой поломке кондиционеров в 2026 году
11.06.2026 04:48:59 | Life.ru

Три аэропорта Краснодарского края приостановили полеты на фоне атаки БПЛА
11.06.2026 04:47:56 | РБК

Xinhua: на юге Китая при взрыве погибли семь человек
11.06.2026 04:45:19 | ТАСС

В ЕС забили тревогу из-за отчаяния Каллас
11.06.2026 04:45:00 | Lenta.ru

США заявили о завершении ударов по Ирану спустя четыре часа после начала
11.06.2026 04:37:34 | РБК

Иранские военные нанесли удары по 18 объектам армии США на Ближнем Востоке
11.06.2026 04:34:40 | Life.ru

"Авирон": систему управления "Пеппа" на фронте использует каждый четвертый дрон
11.06.2026 04:33:54 | ТАСС

Buzzoola: 66% россиян смотрят контент онлайн-кинотеатров с мобильных устройств
11.06.2026 04:31:44 | ТАСС

Силы Пятого флота ВМС США в Бахрейне подверглись атаке со стороны Ирана
11.06.2026 04:31:40 | Life.ru

В Приамурье около 10 компаний заинтересованы в реализации проектов в МТОР
11.06.2026 04:31:24 | ТАСС

В России представили проект спутника для работы на высоте до 280 км
11.06.2026 04:30:48 | ТАСС

Найдено защищащее печень от токсинов природное средство
11.06.2026 04:30:25 | Lenta.ru

"С ней что-то не так": Христофору назвал странным поведение Каи Каллас
11.06.2026 04:30:00 | Российская Газета

Христофору: Идея Каллас о создании переговорной группы говорит об отчаянии
11.06.2026 04:30:00 | Российская Газета

Список с адресами производств БПЛА для ВСУ в Европе может быть расширен
11.06.2026 04:24:39 | Life.ru

Россиян будут мотивировать к сообщению о нарушениях ПДД
11.06.2026 04:22:36 | ТАСС

В Приморье медведицу Майку увезли в неизвестном направлении
11.06.2026 04:22:09 | ТАСС

Врач объяснил, как дачная бочка и фонтаны провоцируют пневмонию из-за размножения необычной бактерии
11.06.2026 04:20:15 | Life.ru

Врач объяснил, как дачная бочка и городские фонтаны провоцируют пневмонию из-за размножения необычной бактерии
11.06.2026 04:20:15 | Life.ru

Эксперт Рожин: конфликт на Украине - Клондайк для нелегальных торговцев оружием
11.06.2026 04:18:47 | ТАСС

Минпросвещения: число мест в общежитиях колледжей будет расти
11.06.2026 04:17:55 | ТАСС

Онищенко: вероятность заражения кишечной инфекцией в России возрастает в августе
11.06.2026 04:12:28 | ТАСС

Politico узнало, что Трамп пропустит первый в США матч ЧМ-2026
11.06.2026 04:08:30 | РБК

CENTCOM: ВС США завершили нанесение ударов по Ирану
11.06.2026 04:07:25 | ТАСС

В ЛДПР предложили отменить повышенные штрафы за нарушения ПДД в Москве
11.06.2026 04:07:01 | ТАСС

ФИФА запретила сборной Гаити играть в форме с изображением военной битвы
11.06.2026 04:04:42 | ТАСС

Фьючерс на золото впервые с ноября опустился ниже $4 100 за тройскую унцию
11.06.2026 04:02:26 | Life.ru

В МАИ успешно испытали антенну спутника-ретранслятора для миссии "Венера-Д"
11.06.2026 04:02:14 | ТАСС

Марочко: ВСУ отступили на запасные позиции из Старого Каравана в ДНР
11.06.2026 04:00:50 | ТАСС

Успех Пашиняна на выборах объяснили
11.06.2026 04:00:44 | Lenta.ru

Все новости

ВСЕ НОВОСТИ

ПИШИТЕ

Техническая поддержка проекта ВсеТут

info@vsetut.pro