github action 会不会暴露 github 账号

243 天前
 s1461a

使用 github action 向阿里镜像服务推送 docker 镜像,会不会暴露自己的 github 账号信息,例如邮箱。

2353 次点击
所在节点    程序员
6 条回复
ProxyXAI
243 天前
关键信息是加密的环境变量, 别人看不到
kdwnil
243 天前
Secrets 里的值都会被替换成星星,不论那个变量有没有被用到,担心就把你的邮箱什么的随便命个名丢进去
crackidz
243 天前
不会,推送时候只是执行的 docker 命令
kwater
243 天前
有的地方会传递你的 token ,但无法定位到人。 除非你主动硬码写死
CC11001100
243 天前
当用到了 action 的时候要注意防止供应链攻击,不要合并不可信的代码和引入不可信的依赖库,否则就可能会被盗取 security token 之类的,比如下面就是一个通过 action 盗取 security token 的示例:
https://github.com/no-one-sec/github-action-secrets-stealer
flyqie
243 天前
@CC11001100 #5

不能算是盗取吧,本身就是在执行 action 的时候传进去明文来用的,只是用户无法在管理页面获取明文,这也就意味着 action 内的相关应用做什么都是可能的。。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1026473

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX