Evitare la script injection nelle GitHub Actions

Matteo Tumiati, in DevOps, il 23 novembre 2023 alle 08:00

DevOpsGitHubYAML

Le GitHub Actions, pur essendo uno strumento potente per l'automazione dei flussi di lavoro, possono essere soggette a vulnerabilità di sicurezza come l'injection di script. Questo accade quando un attore malevolo riesce a inserire codice all'interno delle variabili o dei comandi eseguiti dalle Actions, che poi, una volta eseguito, potenzialmente causa danni ci espone dati e file sensibili. Pertanto, è fondamentale seguire le migliori pratiche di sicurezza quando si lavora con le GitHub Actions.

Vediamo un esempio concreto di una GitHub Action:

- name: Check PR title
  run: |
    title="${{ github.event.pull_request.title }}"
    if [[ $title =~ ^aspitalia ]]; then
      echo "PR title starts with 'aspitalia'"
      exit 0
    else
      echo "PR title did not start with 'aspitalia'"
      exit 1
    fi

Assumiamo che, in questo caso, la GitHub Action venga eseguita quando viene aperta una pull request, poiché ne dobbiamo verificare le sue proprietà. Il suo scopo, infatti, è quello di verificare che il titolo della pull request in oggetto inizi con la parola "aspitalia". Se così non fosse, la GitHub Action terminerebbe la sua esecuzione con un errore.

Tuttavia, nonostante questo esempio sia molto semplice, ci espone ad un livello di rischio molto elevato. Infatti, creando una PR con il seguente titolo:

Ci andrà a sostituire il valore di:

title="${{ github.event.pull_request.title }}"

in quest'altro:

title="a"; ls $GITHUB_WORKSPACE"

Che, sebbene farà eseguire la Action nella sua valutazione - anche se con un titolo differente -, di fatto ha esposto dei dati al chiamante del workflow, che può quindi leggere dai log informazioni sensibili. Anche in questo caso l'esempio è molto semplice perché andiamo solamente a stampare un elenco di file, ma nulla ci vieta di fare injection di un qualsiasi script.

Questo succede perché lo script viene eseguito su un file temporaneo e, prima che questo venga creato, la variabile viene valutata. Tuttavia, la remediation a questo problema è molto semplice e ci richiede solamente il passaggio della variabile come variabile d'ambiente:

- name: Check PR title
  env:
    TITLE: ${{ github.event.pull_request.title }}
  run: |
    if [[ "$TITLE" =~ ^aspitalia ]]; then
        echo "PR title starts with 'aspitalia'"
        exit 0
    # ...
    fi

In questo scenario, infatti, lo script viene scritto temporaneamente nell'agent mantenendo TITLE come placeholder e verrà rimpiazzato al momento dell'esecuzione.

Commenti

Visualizza/aggiungi commenti

| Condividi su: Twitter, Facebook, LinkedIn

Per inserire un commento, devi avere un account.

Fai il login e torna a questa pagina, oppure registrati alla nostra community.

Evitare la script injection nelle GitHub Actions

Commenti

Approfondimenti

Testare l'invio dei messaggi con Event Hubs Data Explorer

Ottimizzare le performance usando Span<T> e il metodo Split

Disabilitare le run concorrenti di una pipeline di Azure DevOps

Introduzione alle Container Queries

Eseguire script pre e post esecuzione di un workflow di GitHub

Rinnovare il token di una GitHub App durante l'esecuzione di un workflow

Configurare il nome della run di un workflow di GitHub in base al contesto di esecuzione

Aprire una finestra di dialogo per selezionare una directory in WPF e .NET 8

Managed deployment strategy in Azure DevOps

Utilizzare EF.Constant per evitare la parametrizzazione di query SQL

Escludere alcuni file da GitHub Secret Scanning

I più letti di oggi

Script via e-mail

In primo piano

.NET Conference Italia 2024 - Milano

.NET Conference Italia 2023 - Milano e Online

Le novità di .NET 7 e C# 11

Le novità in ASP.NET Core e Blazor con .NET 7

In evidenza

Misc

Utilizziamo i cookie per analisi, contenuti personalizzati e pubblicità.