GitHub Actions checkout v7 強化 `pull_request_target` 預設機制,防範供應鏈攻擊
為何重要
針對 pull_request_target 事件的安全改變,直接降低了 GitHub Actions 生態系中常見的 Supply Chain 攻擊(pwn requests)基數。對於依賴此套件的開發者與平臺使用者而言,這一預設值的調整代表了 CI/CD 安全性的標準大幅提升,雖然僅解決了套件層面的漏洞,但防止了許多本可以避免的惡意程式碼執行。在開源軟體依賴日益複雜的環境下,這類基礎設施層的安全加強是維持自動化信任度的關鍵。
- GitHub 發布
actions/checkoutv7 一般可用版本(GA),預設封鎖在pull_request_target等事件涉及 fork pull request 的程式碼抓取。 - 該機制依據
repository與ref的解析內容運作,拒絕指向 fork repository 或符合refs/pull//head/merge及對應 head SHA 的操作。 - 變更將自動套用到使用浮動主要版本標籤(如
actions/checkout@v4)的 workflow;相關強制規則預計於 2026 年 7 月 16 日反向移植至所有目前支援的主要版本。 - 尚在使用被固定 SHA 或小版本的 workflow 需依賴 Dependabot 或既定流程進行升級;已針對有需此解信任 workflow 的案例,開放透過
allow-unsafe-pr-checkout輸入引數選擇退出保護。