嗨 Github 和 Gitleak 用户,
我想使用 gihub 市场上提供的 SAST 工具 gitleaks / gitleaks-action,它符合我们的要求。
我担心的是,
由于扫描仪将在我们 GitHub 组织的公共和私人存储库上运行,因此信任 Github Marketplace(免费提供)上可用的应用程序是否完全安全。
“MIT 许可证”要求是否已检查到位以确保可用工具的完整性,以便最终用户可以放心地安装这些安全工具?gitleaks 扫描 GitHub repo 后,得到的结果是安全的吗?
谢谢,
你的问题没有重复,但它看起来很像这个。
答案是(不幸地)NO
信任 Github Marketplace 上可用的应用程序并不完全安全。
您可以在此处找到一些参考资料:
了解这与您每天用于编码的大多数库相同。
Github Marketplace上的Github Actions通常是公共开源存储库,并不总是得到大公司的支持。
它们中的大多数都执行简单的操作,您可以通过查看存储库代码来检查这些操作,但所有者总是有可能在实现的深处配置恶意内容。
这就是为什么您在选择一个或另一个动作/库时需要注意这一点,并且在将它们用于您自己的项目之前要小心并检查代码及其最终漏洞。
如果您需要通知个人访问令牌(PAT) 作为输入变量,请更加谨慎。
请注意,Github 在 Marketplace 上显示经过验证的用户,这可以被视为“受信任的”。
例子:
希望不是每个人都有这种心态(做恶意的事情),并且社区大部分时间都是有帮助的。请注意,可能总是存在一些风险(一些安全工具可以帮助解决这个问题)。