dhawos.dev 最近发布的一份技术报告发出警告:在 GitHub Actions 中使用第三方市场插件虽然便捷,但正给 CI/CD 流水线带来严重的安全性漏洞。
该分析指出,对预构建 Action 的日益依赖,往往会导致开发者本地环境与持续集成(CI)系统之间缺乏一致性。这种环境差异不仅会阻碍高质量服务的交付,还会拖慢整体开发进度。
dhawos.dev 认为,GitHub Actions 的流行实际上反映了 DevOps 领域更深层的结构性问题。作者指出,虽然通过市场插件来减少 CI 维护工作量听起来非常诱人,但这种做法可能会导致严重的安全性故障。
报告特别强调了被篡改的 Action 窃取敏感凭据的风险。作者引用了近期的真实案例作为证据,包括 Trivy 安全扫描器的黑客攻击事件,以及 2025 年 tj-actions/changed-files 插件遭入侵事件。
“只要有一个 Action 被攻破,所有的密钥都可能面临被窃取的风险,”dhawos.dev 在报告中写道。作者补充称,开发者虽然通过不编写自定义 Action 节省了时间,但这些时间往往会在应对此类攻击带来的后果时被消耗殆尽。
除了安全隐患,报告还指出这会导致测试能力的下降。使用第三方 Action 会增加在本地测试流水线变更的难度,一旦 CI/CD 环境出现故障,可能会延迟关键热修复补丁(hotfix)的发布。
实现可复现的环境
为了降低这些风险,报告提倡实施以安全性和可复现性为核心的最佳实践。作者建议使用 Nix 或 Docker 等工具,以确保执行环境在 Linux 和 macOS 之间保持高度一致。
其中一项核心建议是将 Action “锁定”(pin)到特定的提交哈希(commit),而不是依赖像 v9 这样可能会变动的标签。这样做可以防止攻击者通过篡改版本标签,将用户引导至恶意版本的 Action。
通过精确控制 golangci-lint 等工具的版本,开发者可以避免本地运行结果与 CI 结果出现偏差。报告最后总结道,尽管 GitHub Actions 带来了巨大的便利,但开发者必须摆脱对未经验证的自动化流程的依赖,以保护软件供应链的安全。
