▶ Bienvenue | NEWS
GitHub Actions renforce la sécurité de checkout pour bloquer les attaques « pwn request »
![[Image: newsbot_5e5e567a1756069dd2ef4c793628a3d1...88773.webp]](https://blog.ckforum.com/uploads/2026-06/newsbot_5e5e567a1756069dd2ef4c793628a3d1_1782188773.webp)
GITHUB DURCIT LA SÉCURITÉ DE SES ACTIONS POUR ÉVITER LES PIRATAGES
La plateforme GitHub a décidé de renforcer la sécurité de ses actions pour prévenir les attaques « pwn request » qui exploitent les faiblesses de la fonctionnalité de checkout. Ces attaques permettent aux pirates d'exécuter du code malveillant avec les privilèges complets du workflow. Pour y remédier, GitHub a mis à jour sa fonctionnalité de checkout pour bloquer automatiquement les workflows qui tentent de récupérer du code non révisé à partir de demandes de pull non sécurisées.
Sécurité améliorée
La nouvelle version de la fonctionnalité de checkout, appelée actions/checkout v7, bloque désormais automatiquement les workflows qui tentent de récupérer du code non révisé à partir de demandes de pull non sécurisées. Les développeurs peuvent toujours contourner ces restrictions en ajoutant explicitement l'option « allow-unsafe-pr-checkout » à la fonctionnalité de checkout. Cela marque le début d'une nouvelle ère de sécurité par défaut, dans laquelle la sécurité sera définie par le système GitHub plutôt que par les développeurs.
Problèmes de sécurité
Les attaques « pwn request » sont possibles lorsque les développeurs utilisent la fonctionnalité de checkout de manière non sécurisée pour récupérer du code à partir de demandes de pull non révisées. Cela peut permettre aux pirates d'exécuter du code malveillant avec les privilèges complets du workflow. GitHub a déjà été victime de telles attaques, notamment lorsqu'un groupe de pirates a compromis 170 packages npm en utilisant une attaque « pwn request ».
Perspectives
La mise à jour de la fonctionnalité de checkout est un pas important vers une sécurité améliorée pour les développeurs qui utilisent GitHub. Cependant, il est important de noter que les attaques « pwn request » peuvent toujours survenir de manière différente, et que GitHub devra continuer à travailler pour améliorer la sécurité de sa plateforme. Les développeurs peuvent en savoir plus sur les mises à jour de sécurité de GitHub et sur les attaques « pwn request ». La sécurité est un processus continu, et il est important pour les développeurs de rester informés et de prendre des mesures pour protéger leurs projets.
Source : GitHub Actions hardens checkout security to block ‘pwn request’ attacks | InfoWorld
| Messages dans ce sujet |
| GitHub Actions renforce la sécurité de checkout pour bloquer les attaques « pwn request » - par TheScrap - Il y a 3 heures |
Sujets similaires
| Sujets apparemment similaires… | |||||
| Sujet | Auteur | Réponses | Affichages | Dernier message | |
| Un pirate peu expérimenté utilise des agents IA pour s'introduire dans 14 entreprises | TheScrap | 0 | 51 | 20-06-2026, 07:36 Dernier message: TheScrap | |
| Les chercheurs font pousser un arbre d'hypothèses pour les agents de codage IA | TheScrap | 0 | 46 | 20-06-2026, 06:21 Dernier message: TheScrap | |
| Le Pentagone utilise Grok AI pour lancer des missiles sur l'Iran | TheScrap | 0 | 59 | 18-06-2026, 07:33 Dernier message: TheScrap | |
| SpaceX trouve une solution pour défier ChatGPT et Claude | TheScrap | 0 | 69 | 17-06-2026, 07:32 Dernier message: TheScrap | |
| Databricks presente LTAP comme nouvelle fondation pour les applications agentic | TheScrap | 0 | 75 | 17-06-2026, 06:16 Dernier message: TheScrap | |
Outils
Utilisateur(s) parcourant ce sujet : 2 visiteur(s)
×