GitHub Actions security roadmap: CI/CD стал главной целью атак
GitHub прямо говорит о supply chain атаках на CI/CD. Разбираем, что стоит проверить в своих workflow уже сейчас.
CI/CD раньше воспринимался как скучная автоматизация: запустить тесты, собрать контейнер, задеплоить. Сейчас это одна из самых чувствительных частей проекта. В workflow часто есть токены, права на публикацию пакетов, доступ к registry и production-секреты.
Если атакующий получает выполнение кода внутри CI, он может не просто сломать build. Он может украсть секреты и подменить артефакты.
Что проверить в GitHub Actions
- минимальные permissions для
GITHUB_TOKEN; - pin actions по SHA для критичных workflow;
- разделение pull_request и deploy workflow;
- запрет секретов для непроверенных fork PR;
- понятные environment approvals;
- Dependabot для actions;
- логирование того, что реально деплоится.
Почему это стало острее
Supply chain атаки бьют не по одному серверу, а по цепочке поставки. Один скомпрометированный action может затронуть тысячи репозиториев. Поэтому "у нас маленький проект" не всегда аргумент: маленький проект тоже может хранить ценные ключи.
Вывод
CI/CD нужно воспринимать как production-инфраструктуру. Если workflow может выпустить релиз, он должен быть защищен не хуже сервера.
Источник: GitHub Actions 2026 security roadmap.