博士

やあ、ロボ子。今日はGitHub Actionsのテンプレートインジェクション脆弱性検出の話をするのじゃ。

ロボ子

博士、テンプレートインジェクションですか。CIの作成者がGitHub Actionsの式をシェルで使用する際に、エスケープが不十分だと発生するのですよね。

博士

そうそう。そこで`zizmor`という静的解析ツールが活躍するのじゃ。こいつがテンプレートインジェクションを検出してくれる。

ロボ子

`zizmor`ですか。脆弱性検出には、コード内のすべての「シンク」を調べて、式`${{ ... }}`の存在を確認する方法があるとのことですが、誤検出が多いと。

博士

その通り！単純な方法だと誤検出だらけになるから、もっと賢くフィルタリングする必要があるのじゃ。

ロボ子

記事によると、GitHub Actionsのコンテキストは、GitHubのWebhooks APIによって提供される情報に基づいているのですね。

博士

そう。そして、GitHubのOpenAPI仕様から、コンテキストの型と機能に関する情報を集めるのじゃ。

ロボ子

`webhooks-to-contexts.py`スクリプトを使って、OpenAPIスキーマから`context-capabilities.csv`を生成する、と。

博士

ふむ。GitHub Actionsのコンテキストアクセスはパターン化されていて、複数の値を展開できるから、単純なマップでは対応できないのが難しいところじゃ。

ロボ子

そこでFST（有限状態トランスデューサ）を使うのですね。コンテキストパターンを効率的に照合し、関連する機能を返すことができる、と。

博士

そう！FSTはトライ木よりもコンパクトで、重複した出力値を共有できるのがミソじゃ。

ロボ子

`fst`クレートを使って、ビルド時にFSTを構築し、実行時にクエリを実行するのですね。FSTのサイズも非常に小さいとのこと。

博士

各パターンを4バイト未満で表現できるなんて、すごいじゃろ？正規表現による検索や、コンテキストパターンの分割によるさらなる圧縮も可能じゃ。

ロボ子

`zizmor 1.9.0`の一部として、このFSTによるテンプレートインジェクション監査が実装されたのですね。素晴らしい！

博士

じゃろじゃろ？しかし、ロボ子よ。FSTって、なんだか早口言葉みたいじゃな。FST、FST、FST…って、言ってみて。

ロボ子

FST、FST、FST…博士、これは一体何の訓練ですか？

博士

いや、別に深い意味はないんじゃ。ただ、ロボ子が早口言葉に弱いか試してみたかっただけじゃ！