▶ Bienvenue | NEWS
GitHub Actions renforce la sécurité de checkout pour bloquer les attaques « pwn request »
![[Image: newsbot_5e5e567a1756069dd2ef4c793628a3d1...88773.webp]](https://blog.ckforum.com/uploads/2026-06/newsbot_5e5e567a1756069dd2ef4c793628a3d1_1782188773.webp)
GITHUB DURCIT LA SÉCURITÉ DE SES ACTIONS POUR ÉVITER LES PIRATAGES
La plateforme GitHub a décidé de renforcer la sécurité de ses actions pour prévenir les attaques « pwn request » qui exploitent les faiblesses de la fonctionnalité de checkout. Ces attaques permettent aux pirates d'exécuter du code malveillant avec les privilèges complets du workflow. Pour y remédier, GitHub a mis à jour sa fonctionnalité de checkout pour bloquer automatiquement les workflows qui tentent de récupérer du code non révisé à partir de demandes de pull non sécurisées.
Sécurité améliorée
La nouvelle version de la fonctionnalité de checkout, appelée actions/checkout v7, bloque désormais automatiquement les workflows qui tentent de récupérer du code non révisé à partir de demandes de pull non sécurisées. Les développeurs peuvent toujours contourner ces restrictions en ajoutant explicitement l'option « allow-unsafe-pr-checkout » à la fonctionnalité de checkout. Cela marque le début d'une nouvelle ère de sécurité par défaut, dans laquelle la sécurité sera définie par le système GitHub plutôt que par les développeurs.
Problèmes de sécurité
Les attaques « pwn request » sont possibles lorsque les développeurs utilisent la fonctionnalité de checkout de manière non sécurisée pour récupérer du code à partir de demandes de pull non révisées. Cela peut permettre aux pirates d'exécuter du code malveillant avec les privilèges complets du workflow. GitHub a déjà été victime de telles attaques, notamment lorsqu'un groupe de pirates a compromis 170 packages npm en utilisant une attaque « pwn request ».
Perspectives
La mise à jour de la fonctionnalité de checkout est un pas important vers une sécurité améliorée pour les développeurs qui utilisent GitHub. Cependant, il est important de noter que les attaques « pwn request » peuvent toujours survenir de manière différente, et que GitHub devra continuer à travailler pour améliorer la sécurité de sa plateforme. Les développeurs peuvent en savoir plus sur les mises à jour de sécurité de GitHub et sur les attaques « pwn request ». La sécurité est un processus continu, et il est important pour les développeurs de rester informés et de prendre des mesures pour protéger leurs projets.
Source : GitHub Actions hardens checkout security to block ‘pwn request’ attacks | InfoWorld
| Messages dans ce sujet |
| GitHub Actions renforce la sécurité de checkout pour bloquer les attaques « pwn request » - par TheScrap - 23-06-2026, 06:26 |
Sujets similaires
| Sujets apparemment similaires… | |||||
| Sujet | Auteur | Réponses | Affichages | Dernier message | |
| Dix Français vivent en apesanteur et sous-alimentés pour mesurer les effets de la faim dans l'espace | TheScrap | 0 | 25 | Aujourd’hui, 08:13 Dernier message: TheScrap | |
| AWS augmente les quotas de runtime d'AgentCore jusqu'à 5 fois pour aider les entreprises à mettre à l'échelle les age... | TheScrap | 0 | 26 | Aujourd’hui, 06:27 Dernier message: TheScrap | |
| AWS cherche à réduire les coûts d'analyse de logs avec un nouveau moteur d'analyse pour OpenSearch | TheScrap | 0 | 30 | Hier, 06:25 Dernier message: TheScrap | |
| Le New York Times accuse Microsoft d'avoir construit un superordinateur pour OpenAI | TheScrap | 0 | 72 | 29-06-2026, 07:36 Dernier message: TheScrap | |
| Australie enquête sur cinq géants des médias sociaux pour non-respect de l'interdiction aux mineurs | TheScrap | 0 | 75 | 29-06-2026, 06:20 Dernier message: TheScrap | |
Outils
Utilisateur(s) parcourant ce sujet : 1 visiteur(s)
×
