Názory k článku
GitHub Action tj-actions/changed-files napadena, krade tokeny, hesla a další údaje

Obsahu článku nerozumím. Asi by se zasloužilo napsat, co je to "GitHub Action tj-actions/changed-files" a koho by to mělo zajímat.

Co je to github action?

Github Actions je CI/CD nástroj, který automaticky spouští kód v reakci na definované eventy v github repozitáři (např někdo pushne nový commit, otevře nový pull request, vytvoří nový tag, atd.)

Stejně jako jiný kód si ne každý píše svoje actions, ale využívá volně dostupné, které už někdo vytvořil a sdílel. tj-actions je jedna z kolekcí actions (můžete to chápat podobně jako knihovnu - někdo něco komplikovanějšího implementoval a já to můžu zavolat přidáním jednoho řádku). A zřejmě se stalo to, že někdo tuto veřejnou knihovnu "upravil" tak, aby po spuštění kradla citlivé údaje.

Koho by to mělo zajímat?
Zajímá to ty, kteří pro svoje CI/CD používají Github Actions a používají někde jako součást svých pipelines tj-actions. Vzhledem k tomu, že policy githubu je taková, že pokud se najde škodlivý kód, tak je okamžitě smazán a skryt, tak se nemůžeme podívat, jak byl repozitář populární, a co přesně dělal. (teď už není třeba podnikat žádné kroky, protože github repozitář smazal)

Ale zajímá to i ostatní, kteří zrovna GH actions nepoužívají, protože je to další supply chain útok, a je to dobrá připomínka s touto možností ve svém bezpečnostním modelu počítat, bez ohledu na to, co používáte, protože problém je to univerzální.

> teď už není třeba podnikat žádné kroky, protože github repozitář smazal

Nesouhlas. Pokud tu akci někdo používal, hodí se zjistit, co uniklo, a zvážit, co s tím dál – vyměnit nějaké secrets apod.

v tomhle případě revokovat veškeré autorizační tokeny a přegenerovat je. U účtů, které tenhle nástroj používali github všechny tokeny expiroval, aspoň takové od nich mám informace.

Super.

A šlo by to copy&paste přímo do článku?
Nebo tam alespoň dát informaci
že podrobnější info o GHA je v komentáři?

Díky předem

Doporučuji redakci root.cz zveřejnit článek s názvem: Google a spol. - vyhledejte si, co ještě neznáte. Případně něco o ChatGPT a spol. Celé tohle vlákno považuju za směšné - je Root serverem pro mladší školní děti?

Viz třeba zde: https://chatgpt.com/share/67d7bff6-267c-8013-a018-a9d7cab86fd7

Pokud Github Actions nepouzivate, zjevne se vas tato zpravicka netyka :)

V obecnosti jsou Github Actions takove male stripky, ze kterych jde poskladat CI pipeline. Nektere Actions poskytuje primo Github, ale vetsina je od komunity. Tohle je pripad napadene komunitni akce.

A šlo by ty zprávičky psát tak, aby u méně známých věcí bylo uvedeno, o co jde?

15. 3. 2025, 13:00 editováno autorem komentáře

Ano, ujmi se toho a piš je kvalitněji.

My se o to v redakci snažíme, často do zprávičky doplňujeme poslední odstavec, který stručně vysvětlí, o co jde. Tohle je ale zprávička zadaná čtenářem a tam je vždy na autorovi, jestli takovou informaci doplní. Pokud se tak nestane, máme tu diskuse, kde je možné to napravit komunitně.

Akce, co najde přes git změněné soubory. Lol. Já v GitHub Actions vidím prostě stejnou mentalitu, jaká je v JavaScript ekosystému.

Javascript mi pride viacej homebrew. Tento Github je DevOps prasárna. Ja sa ani nečudujem, že ľudia tomu nerozumejú. Keď niekto nakopí DevOps gibberish, je to to dosť odstrašujúce.

Ja len dúfam, že sa vývojárčina vráti do nejakého ľudskejšieho režimu.

Ono ty GH akce ale jsou JS prasárny - lidi používají desítky GHA v jejich CI, o kterých nic neví, a pak konfrontace něčeho takového právě způsobuje tyto problémy.

Já se třeba ve vlastních workflow snažím používat co nejmíň GHA od třetích stran, a přijde mi to tak celkem OK - lepší vlastní skript, který můžu zmigrovat na jinou službu než mít workflows napsané tak, že migrace znamená kompletní přepis všeho.

však jsou většinou napsané v JavaScriptu , typescriptu nebo tak něco

Ano, všechno si každý napíšeme od začátku, ideálně 100x jinak, vypalíme na tom haldu času... Stačí se podívat kolik má ta akce parameterů.

máme všechny action homemady a není to rozhodně tolik času, naopak je to ve výsledku jednoduší, přehlednější a udržovanější.

GH actions jsou super na zapouzdření devops prasáren, aby nemusely být přímo v repu nebo si to nějak klonovat/stahovat s každou prací.

Osobně jsem psal do Jenkinse, Gitlabu a Gitea (ekvivalent GH actions). Vím že (aspoň za mě) to jsou dny a dny práce než člověk vychytá co potřebuje (ale záleží na složitosti software a deploymentu). A osobně nerad přidávám další dny na psaní kola (tj. to co už napsal někdo předemnou a dal to public na GH)
GH actions jsou hlavně dobré kvůli deduplikování kódu a abstrakci (protože když pipeline chce deployovat, chce deployovat -- a je jí fakt jedno jestli je ve finále deploy řešený přes argocd, kubectl apply, ftp, rsync...). A taktéž aby člověk furt nepsal dokola kolo