GitHub Marketplace SAST 工具 gitleaks

Posted 2023-03-28

【中文标题】GitHub Marketplace SAST 工具 gitleaks

【英文标题】：GitHub Marketplace SAST tool gitleaks

【发布时间】：2021-08-20 13:31:06

【问题描述】：

您好 Github 和 Gitleak 用户，

我想使用 gihub 市场上提供的 SAST 工具 gitleaks / gitleaks-action，它符合我们的要求。

我担心的是，

由于扫描仪将在我们 GitHub 组织的公共和私人存储库上运行，因此信任 Github Marketplace（免费提供）上可用的应用程序是否完全安全。

是否已检查“MIT 许可证”要求以确保可用工具的完整性，以便最终用户可以放心地安装这些安全工具？ gitleaks 扫描 GitHub repo 后，得到的结果是否安全？

谢谢，

【参考方案1】：

您的问题没有重复，但看起来很像this one。

答案是（很遗憾）NO

信任 Github Marketplace 上提供的应用程序不完全安全。

你可以在这里找到一些参考资料：

Use GitHub actions at your own risk The Security of GitHub Actions Are Github Actions safe to use? Security hardening for GitHub Actions Keeping your GitHub Actions and workflows secure: Untrusted input Keeping your GitHub Actions and workflows secure: Preventing pwn requests

了解这与您每天用于编码的大多数库相同。

Github Marketplace

上的

Github Actions

通常是公共开源存储库，并不总是得到大公司的支持。

他们中的大多数都执行简单的操作，您可以通过查看存储库代码来检查，但所有者总是有可能在实现的深处配置恶意内容。

这就是为什么您在选择一个或另一个动作/库时需要注意这一点，并在将它们用于您自己的项目之前要谨慎并检查代码及其最终漏洞。

如果您需要通知 个人访问令牌 (PAT) 作为输入变量，请更加谨慎。

请注意，Github 会在 Marketplace 上显示经过验证的用户，这可以被视为“受信任”。

示例：

希望不是每个人都有这种（做恶事）的心态，而且社区大部分时间都是乐于助人的。请注意，可能总是存在一些风险（一些安全工具可以帮助解决这个问题）。

【讨论】：

谢谢，合并后的共享信息帮了大忙。我很惊讶地看到像 gitleaks 这样的最受关注的应用程序没有“已验证”徽章（域不是已验证域）。在 GitHub Actions 中使用 GitHub 应用程序，是否建议在本地主机上托管相同的应用程序（如 gitleaks），这种方法是否比使用 GitHub Actions 运行应用程序更好？

我认为这些方法没有什么不同。如果您信任 Gitleaks 应用程序，则将其操作与 Github Actions 一起使用不会有问题，无论是在 Github Actions 还是在本地主机（您的库、代码或操作）中，该行为都将是相同的'将在两种方法中使用相同）。