关键漏洞信息 1. 恶意工作流文件 描述: 攻击者可以提交恶意的 文件,这些文件会在 GitHub Actions 中运行。 示例: 2. 使用 风险: 默认的 可能被滥用,导致意外的行为或安全问题。 示例: 3. 访问其他仓库 风险: 工作流可能访问其他仓库,导致数据泄露或篡改。 示例: 4. 使用第三方工作流 风险: 第三方工作流可能存在未修复的漏洞,导致安全问题。 示例: 5. 使用环境变量 风险: 环境变量可能包含敏感信息,如果处理不当,可能导致泄露。 示例: 6. 使用自托管运行器 风险: 自托管运行器可能不安全,需要额外的安全措施。 示例: 7. 使用 动作 风险: 如果使用不当,可能导致 Python 包管理器中的漏洞被利用。 示例: 8. 使用 和 风险: 这些命令可能被用于下载和执行恶意代码。 示例: 9. 使用 和 风险: 这些命令可能导致命令注入攻击。 示例: 10. 使用 和 风险: Docker 命令可能被滥用,导致容器逃逸或其他安全问题。 示例: