GitHub Actions 認証情報ごとのリスクから読み解く、権限昇格パターンとその対策
ARANK
はじめに こんにちは。GMO Flatt Security株式会社 セキュリティエンジニアの佐藤(@Nick_nick310)です。 本シリーズの前回記事では、GitHub Actionsに対する初期アクセスの手法と対策を解説しました。まだお読みでない方は、先に前回の記事をご覧いただくことをお勧めします。 GitHub Actionsのセキュリティを考える際、Script Injectionや信頼できないPull Requestのcheckoutといった初期アクセスに関わる問題が注目されることは少なくありません。しかし、実際の侵害を考えるうえでは、攻撃の入口だけでなく、その後にどのような権限昇…
1 comments
GitHub Actions 経由の侵害を考察するシリーズ記事、Part 2(認証情報の特徴考察&権限昇格編)が出ました。
GitHub Action のセキュリティに不安ありの皆様、是非ご一読ください☺️
// Kudos @Nick_nick310!
blog.flatt.tech/entry/2026-git…