GitHub终于修复了谷歌ProjectZero报告的一个高危安全漏洞,方法是私下向供应商报告该bug,并给他们90天的修复时间,然后再公开披露。根据情况的严重程度,该截止日期可能会根据该组织的标准指南延长或缩短。11月初,谷歌在GitHub上公开披露了一个“高”严重性安全问题,后者无法在104天内修复——超过了标准时限。不过,GitHub用户现在很高兴知道这个安全漏洞终于被堵上了。该安全漏洞源自GitHubActions中的工作流命令,这些命令作为执行操作和ActionRunner之间的通信通道容易受到注入攻击。最初报告该安全漏洞的谷歌零项目的FelixWilhelm表示,工作流命令的实施方式“从根本上说是不安全的”。短期解决方案是弃用命令语法,长期解决方案是将工作流命令移动到某个链下通道,但这也很棘手,因为它会破坏依赖代码。在GitHub未能在规定的104天内修复该问题后,谷歌于11月2日公开披露了该问题。显然,这给公司带来了一些压力,此后错误已得到修复。补丁说明显示该修复与Wilhelm提出的短期解决方法一致。禁用add-path和set-envrunner命令(#779)更新了dotnet安装脚本(#779)这几天前已在GitHub上修复,但现在已由GoogleProjectZero团队和问题存储库标记中验证。这使安全团队报告的未解决问题列表减少到九个。这包括来自许多供应商的软件,包括微软、高通和苹果。谷歌自己的软件中存在的唯一未解决的问题与Android上的指针泄漏有关,但这个“中等”严重性缺陷的状态自2016年9月以来一直处于公开状态。
