https://opennet.ru/openforum/vsluhforumID3/122316.html Компания Google раскрыла информацию о методе эксплуатации уязвимости (CVE-2020-15228) в механизме GitHub Actions, предназначенном для прикрепления обработчиков для автоматизации различных операций в GitHub. Например, при помощи GitHub Actions можно выполнить определённые проверки и тесты при совершении коммитов или автоматизировать обработку новых Issues. Уязвимость вызвана тем, что обмен командами между процессом запуска Action и запускаемым действием (Action) производится через стандартный поток (STDOUT) - Actions Runner парсит стандартный поток, формируемый в процессе выполнения действий, и выделяет в нём маркеры команд "##[command parameter1=data;]command-value..."...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54023<br> https://opennet.ru/openforum/vsluhforumID3/122316.html#19 Wed, 04 Nov 2020 21:19:20 GMT Здравствуй, дырявый unix-way! Давненько на опеннете не писали про тупейшие ошибки вызываемые пайпами, переменными окружениями и дебильным способом передачи аргументов дочернему процессу.<br> https://opennet.ru/openforum/vsluhforumID3/122316.html#18 Wed, 04 Nov 2020 19:47:16 GMT Славные ручки микрософт.<br> https://opennet.ru/openforum/vsluhforumID3/122316.html#17 Wed, 04 Nov 2020 15:55:45 GMT для тех кто парсит issue title - решило бы. Для тех кто парсит что-то другое - не решило бы.<br><br>Ибо нехрен мешать необработанные данные с кодом.<br><br><br> https://opennet.ru/openforum/vsluhforumID3/122316.html#16 Wed, 04 Nov 2020 13:00:39 GMT Запрет на ## в issue.title решило бы проблему?<br> https://opennet.ru/openforum/vsluhforumID3/122316.html#15 Wed, 04 Nov 2020 12:23:52 GMT Так ведь не у гугля, а у рабов гугля - сам гугль свое никому не отдаст, у него все в надежной внутренней заначке, на гитхабе лежат кости, кинутые забесплатно-нате-жрите (гугль, кстати, весьма разборчив в том, что выкидывать), все равно ненужно.<br><br>И даже если гитхап прям завтра сдохнет - гуглю от этого никакого особого расстройства. А рабы...ну в гитляп переедут, или еще куда.<br><br>А вот просто сделать пакость конкурирующей компании, раз она так подставилась - почему же ж нет.<br><br>Никакого другого смысла прождав пол-года не согласиться подождать еще пару недель - лично я не вижу.<br><br> https://opennet.ru/openforum/vsluhforumID3/122316.html#14 Wed, 04 Nov 2020 12:05:37 GMT &gt; GitHub останется только код в Арктике<br><br>А ты уверен что он там есть ? Дешевая ПР акция какбы<br> https://opennet.ru/openforum/vsluhforumID3/122316.html#13 Wed, 04 Nov 2020 11:52:12 GMT Злоумышленник может написать любой код для PR. Именно поэтому, нельзя билдить каждый PR от случайных людей.<br> https://opennet.ru/openforum/vsluhforumID3/122316.html#12 Wed, 04 Nov 2020 11:34:38 GMT Чёт я не понял как и куда кто-то может подставить своё действие. Если я использую чужую action, она могла, может и всегда будет мочь сделать абсолютно что угодно в рамках запуска action, разве нет? Это вполне ожидаемо.<br><br>А вообще должен сказать что попробовал миграцию с Travis (который скурвился - время ожидания в очереди выросло до десятков часов, хотят чтобы пользователи мигрировали на travis.com с ограничениями, который запрашивает невменяемых доступов с полным r/w к репозиториям) на actions и очень доволен. CI на actions работает в разы быстрее, не требует выдачи доступов каким-то третьим сервисам, образы ubuntu там новее и лучше устроены с точки зрения свежего софта, например работабщий pg13 из коробки, сразу есть винда, что позволяет отказаться ещё и от yблюдского appveyor, и конфиг получается намного чище и гранулярнее. Всем советую.<br> https://opennet.ru/openforum/vsluhforumID3/122316.html#11 Wed, 04 Nov 2020 10:40:26 GMT Да всем с....ть на вас. Пожинают плоды они в виде собирания денег с таких лохопедов как ты. То с гитхаба копеечку, то с азура.<br>