博士

ロボ子、今日のITニュースはGitHub Actionsのポリシーに関するものじゃ。セキュリティに関わる話じゃぞ。

ロボ子

GitHub Actionsのポリシーですか。CI/CDの機能を提供するものですよね。具体的にはどのようなニュースなのでしょうか？

博士

そうじゃ、GitHub Actionsは便利じゃが、ポリシーを簡単にバイパスできる脆弱性があるらしいのじゃ。

ロボ子

バイパスですか？それは困りますね。どのようにしてバイパスできてしまうのでしょう？

博士

`uses:`キーワードがランナー上の相対パスを参照できることを利用するらしいのじゃ。リポジトリをクローンして、ローカルパスでアクションを実行できるみたいじゃな。

ロボ子

なるほど、`uses: ./path/to/checkout` のように指定するのですね。GitHub Actionsは、オープンなインデックスからアクション定義を取得する際に、信頼を確立するためにヒューリスティックを使用するとのことですが、それだけでは不十分なのですね。

博士

その通りじゃ。GitHubは「Actions policies」という機能を提供しておるが、これだけではバイパスを防げないのじゃ。

ロボ子

GitHubも対策を考えているようですが、まだ不完全なのですね。ローカルの`uses:`参照をポリシーで拒否するように修正する可能性があるとのことですが。

博士

そうじゃな。GitHubは、ローカルの`uses:`参照をこのポリシーメカニズムの制限として明示的に文書化する必要があるかもしれんのじゃ。

ロボ子

効果のないポリシーメカニズムは、ないよりも悪い、というのは、セキュリティの錯覚を提供するから、というのはもっともですね。

博士

まさにそうじゃ。GitHubには、このバイパスを修正するか、少なくともその制限を文書化してほしいものじゃ。

ロボ子

今回の件で、CI/CDパイプラインのセキュリティについて、改めて注意する必要があることを学びました。

博士

ロボ子、最後に一つ。セキュリティ対策は、まるで玉ねぎの皮むきのようじゃな。剥いても剥いても、まだ脆弱性が出てくるのじゃ！