안녕하세요, 코드 보다가 워크플로우 파일에서 구버전 액션을 발견해서 남깁니다.
| 현재 |
최신 |
reggionick/s3-deploy@v3 |
@v4 |
actions/checkout@v2 |
@v4 |
reggionick/s3-deploy는 v4 기준으로 README도 업데이트되어 있어서
v3는 사실상 방치된 상태인 것 같더라고요.
추가로,
reggionick/s3-deploy는 개인 계정의 액션인데, v3 태그는 언제든
다른 커밋으로 덮어씌워질 수 있습니다. 이 액션이 AWS 크리덴셜이
주입된 환경에서 실행되다 보니, 만약 해당 레포가 탈취되면
크리덴셜이 노출될 수 있는 구조입니다.
# 현재
uses: reggionick/s3-deploy@v3
# 개선안 1: v4로 업그레이드
uses: reggionick/s3-deploy@v4
# 개선안 2: 보안을 더 신경 쓰신다면 SHA로 고정
uses: reggionick/s3-deploy@<커밋-SHA> # v4
혹시나 모를 상황에 대비해서 SHA로 고정해두시거나,
아예 aws-actions 공식 액션으로 교체하는 것도 방법일 것 같아요.
당장 위급한 건 아니고 개인 사이트라 실제 공격 가능성도
낮은 편이지만 알아두시면 좋을 것 같네요!
안녕하세요, 코드 보다가 워크플로우 파일에서 구버전 액션을 발견해서 남깁니다.
reggionick/s3-deploy@v3@v4actions/checkout@v2@v4reggionick/s3-deploy는 v4 기준으로 README도 업데이트되어 있어서v3는 사실상 방치된 상태인 것 같더라고요.
추가로,
reggionick/s3-deploy는 개인 계정의 액션인데,v3태그는 언제든다른 커밋으로 덮어씌워질 수 있습니다. 이 액션이 AWS 크리덴셜이
주입된 환경에서 실행되다 보니, 만약 해당 레포가 탈취되면
크리덴셜이 노출될 수 있는 구조입니다.
혹시나 모를 상황에 대비해서 SHA로 고정해두시거나,
아예 aws-actions 공식 액션으로 교체하는 것도 방법일 것 같아요.
당장 위급한 건 아니고 개인 사이트라 실제 공격 가능성도
낮은 편이지만 알아두시면 좋을 것 같네요!