上周五晚上刷到这个漏洞通告,我手心冒汗 —— 客户项目全在 GitHub 上。如果你用 GitHub 存代码、跑自动化部署,这个叫 CVE - 202 6 - 38 5 4 的漏洞值得你花 10 分钟了解下。简单说,就是有人能通过 GitHub 的自动化功能(叫 Actions ),远程在你服务器上执行任意代码。听着吓人,但 GitHub 已经修复了,咱们要做的就是自查下自己的设置。
这漏洞是啥 — 阿杰差点中招W iz 安全团队发现的这个漏洞,利用的是 GitHub Actions 的权限机制。我朋友阿杰,做独立设计工作室,上周三在杭州某咖啡馆改客户项目代码时,发现自己的 Actions 日志里跑了个来路不明的脚本 —— 还好只是测试仓库,要是生产环境就惨了。我之前也犯过类似错误:图方便给所有仓库开了 Actions 的写入权限,等于大门敞开等人进来。这种漏洞不挑人,只要你用了 Actions 自动化,就有风险。
你今天自查成本0 元 + 10 分钟 + 技术门槛:能登录 GitHub 后台看设置就行。第一步:登录 GitHub ,点进任意仓库的 Settings ,左侧找 Actions → General ,看看「 Workflow permissions 」是选的「 Read 」还是「 Read and write 」。如果是后者,而且你没特别需要写权限的场景,改回 Read 就好。这工具不是所有人都需要 —— 如果你从没开过 Actions ,现在不查也没事。
分人群建议刚起步:如果你只拿 GitHub 存代码,没碰过 Actions 自动化,影响很小。下次登录顺手看一眼权限就行,不急。有 1 - 2 客户:如果你用了 Actions 自动部署网站,我会建议今天就去检查每个仓库的 Actions 权限,还有 workflow 文件里引用的第三方 action 来源是否可信。在扩规模:如果团队多人有管理员权限,建议立即审计所有仓库权限,并开启分支保护,限制谁能修改 workflow 文件。这步我之前也卡过,花了一整个下午才梳理完,但值得。