控制誰與何種觸發條件能啟動 GitHub Actions 工作流程
為何重要
這項功能直擊 GitHub Actions 生態系中最關鍵的安全性漏洞——許可權控制的關聯性混亂。透過精確區分「誰有權提交程式碼」(Contributor)與「誰有權執行 CI/CD」(Actor),開發者能落實最小許可權原則,這對於防止 supply chain 攻擊與確保企業級儲存庫合規性至關重要。對於投資人而言,這意味著平臺的安全性壁壘正在加強,有助於吸引高規格的企業客戶實施付費方案。
GitHub 正針對企業、組織與儲存庫推出「Workflow execution protections」功能的公開預覽,讓管理員能建立白名單,嚴格控管誰有權觸發 GitHub Actions 工作流程,以及哪些事件允許執行此類程式。這項功能建立在現有的 rulesets 框架之上,支援跨組織的廣泛範圍設定,並能透過儲存庫自訂屬性縮小範圍。
- 現提供兩種主要規則型別:「Actor rules」可用來控制觸發使用者(含每個使用者、Roles、GitHub Apps 與 Dependabot),以及「Event rules」來限制允許的事件(如 push、pull_request、workflow_dispatch 等)。
- 管理員可在「Policies」區塊中啟用「evaluate mode」,在強制執行規則前先以影子模式評估,確保現有的工作流程不被新政策阻斷。
- 此功能透過集中式政策制定,有效解決了攻擊者透過未受信任的身分(如普通作者)執行惡意程式碼,或透過 pull_request_target 造成資安漏洞的問題。