Home Sign Up Sign In
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
s1461a
V2EX  ›  程序员

github action 会不会暴露 github 账号

  •   
  •   s1461a · Mar 24, 2024 · 3191 views
  •   You need to sign in to view this topic
    This topic created in 804 days ago, the information mentioned may be changed or developed.

    使用 github action 向阿里镜像服务推送 docker 镜像,会不会暴露自己的 github 账号信息,例如邮箱。

  • GitHub
  • action
  • 安全
    6 replies    2024-03-25 09:11:16 +08:00
    ProxyXAI
        1
    ProxyXAI  
       Mar 24, 2024
    关键信息是加密的环境变量, 别人看不到
    kdwnil
        2
    kdwnil  
       Mar 24, 2024 via Android
    Secrets 里的值都会被替换成星星,不论那个变量有没有被用到,担心就把你的邮箱什么的随便命个名丢进去
    crackidz
        3
    crackidz  
       Mar 24, 2024   ❤️ 1
    不会,推送时候只是执行的 docker 命令
    kwater
        4
    kwater  
       Mar 24, 2024
    有的地方会传递你的 token ,但无法定位到人。 除非你主动硬码写死
    CC11001100
        5
    CC11001100  
       Mar 25, 2024
    当用到了 action 的时候要注意防止供应链攻击,不要合并不可信的代码和引入不可信的依赖库,否则就可能会被盗取 security token 之类的,比如下面就是一个通过 action 盗取 security token 的示例:
    https://github.com/no-one-sec/github-action-secrets-stealer
    flyqie
        6
    flyqie  
       Mar 25, 2024 via Android
    @CC11001100 #5

    不能算是盗取吧,本身就是在执行 action 的时候传进去明文来用的,只是用户无法在管理页面获取明文,这也就意味着 action 内的相关应用做什么都是可能的。。
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   1345 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 46ms · UTC 17:15 · PVG 01:15 · LAX 10:15 · JFK 13:15
    ♥ Do have faith in what you're doing.