Sve 🤖 Modeli 📦 Open Source ⚖️ Regulacija 🤝 Agenti 🔧 Hardware 🏥 U praksi 💬 Zajednica 🛡️ Sigurnost ✨ Zanimljivosti
🟡 🛡️ Sigurnost Objavljeno: · 2 min čitanja ·

GitHub: Dvije sigurnosne nadogradnje GitHub Actions štite od pwn request napada

Editorial ilustracija: Dvije sigurnosne nadogradnje GitHub Actions štite od pwn request napada

GitHub je u jednom danu objavio dvije povezane sigurnosne nadogradnje za Actions: actions/checkout@v7 blokira pwn request napade iz fork PR-ova, a nova Workflow execution protections funkcija omogućuje admin allow-liste po aktoru i tipu eventa za cijele organizacije.

🤖

Ovaj članak generiran je uz pomoć umjetne inteligencije na temelju primarnih izvora.

GitHub je 18. lipnja 2026. objavio dvije međusobno komplementarne sigurnosne nadogradnje za GitHub Actions. Obje adresiraju isti temeljni problem: nekontrolirano izvršavanje koda iz nepouzdanih izvora u privilegiranom okruženju repozitorija.

Što je pwn request i zašto je godinama bio problem?

Pwn request je napad u kojemu vanjski suradnik otvori pull request iz forka, a workflow koji se pokreće koristi privilegirani event — najčešće pull_request_target — koji mu daje pristup tajnama matičnog repozitorija. Za razliku od standardnog pull_request eventa koji radi u izoliranom kontekstu forka, pull_request_target izvršava se u kontekstu baze koda i ima pristup GitHub tokenima i pohranim tajnama. Jedan takav napad može kompromitirati cijeli CI/CD lanac organizacije.

actions/checkout@v7: sigurni defaulti na razini akcije

Nova verzija popularnog checkout akcije uvodi zaštitno ponašanje kao zadani default: u privilegiranim eventima poput pull_request_target, akcija odbija dohvatiti kod iz fork PR-a. Umjesto toga, provjerava out baznu granu repozitorija. Time se eliminira najčešći scenarij pwn request napada bez ikakvog ručnog podešavanja. Za timove kojima zatečeno ponašanje treba zbog specifičnih workflowa, dostupna je opt-out zastavica. Backport na starije verzije checkout akcije planiran je za 16. srpnja 2026.

Workflow execution protections: zaštita na razini organizacije

Paralelno, GitHub je u javni pregled uveo Workflow execution protections — administratorski mehanizam koji omogućuje definiranje allow-listi po aktoru i tipu eventa za cijelu GitHub organizaciju. Za razliku od checkout@v7 koji štiti na razini pojedinog koraka unutar workflowa, ova funkcija enforcement provodi prije nego što workflow uopće počne s izvršavanjem. Admini mogu precizno odrediti tko i koji tip eventa smije pokrenuti workflow — vanjski suradnici, bots i nepoznati akteri mogu biti sustavno isključeni ili uvjetno dopušteni, bez potrebe za izmjenom svakog pojedinog workflow fajla.

Česta pitanja

Što je pwn request napad i zašto je opasan?
Pwn request je napad gdje maliciozni fork PR izvršava kod u privilegiranom kontekstu repozitorija — umjesto u izoliranom okruženju forka. Napadač na taj način dobiva pristup tajnama i tokenima repozitorija koji primaju doprinos.
Što konkretno mijenja actions/checkout@v7?
Checkout@v7 u privilegiranim eventima poput pull_request_target automatski odbija dohvaćanje koda iz fork PR-ova, čime uklanja najčešći vektor pwn request napada. Postoji opt-out zastavica za timove kojima staro ponašanje treba zbog postojećih workflowa.

Izvori

Podijeli: 𝕏 X in LinkedIn f Facebook

Povezane vijesti

🔴 2026-06-19

Google DeepMind: Više od 50% sigurnosnih incidenata agenata su greške, ne napadi
🟡 2026-06-18

arXiv:2606.18060: PseudoBench pokazuje da agentski AI širi pseudoznanost uz gotovo nultu stopu odbijanja
🟡 2026-06-17

Anthropic: Red Team mapira AI-omogućene kibernapade na MITRE ATT&CK okvir, u suradnji s Verizonom
← Natrag na naslovnicu