GitHub выложил в общий доступ инструмент для контроля разрешений Actions

06.07.2023      855

GitHub представил бета-версию action-permissions – инструмента, который позволяет отслеживать права доступа для рабочих процессов Actions. Система подскажет, какие разрешения должны быть для успешного запуска. 

Проблема разрешений

GitHub Actions – это система автоматизации использования ИТ-хостинга. С ее помощью можно настроить реакцию на различные события: пушинг кода, публикацию релиза, создание отчета об ошибке. Эти рабочие процессы получают токен доступа к временному репозиторию GITHUB_TOKEN.

Изначально этот токен имел весьма широкий набор разрешений, в том числе на полное чтение и запись. В 2021 году была представлена расширенная модель управления правами, поэтому сейчас по умолчанию в новых репозиториях разрешения для рабочих процессов установлены в режиме только для чтения. Но в остальных случаях Actions по-прежнему имеют право на запись, даже если оно не требуется для нормального функционирования процесса. 

Проверить привилегии рабочих процессов по умолчанию для репозитория можно в настройках проекта во вкладке «Действия». Там же можно изменить действующие разрешения. 

Оптимальные настройки

Инструмент action-permissions позволяет отслеживать привилегии, которые необходимы конкретному рабочему процессу. Он реализует принцип безопасности с наименьшими привилегиями, который предполагает выдачу только необходимых прав доступа. 

Самостоятельно провести такую настройку затруднительно, потому что сложные процессы зачастую состоят из несколько действий, требующих разных разрешений. При этом проблематично увидеть полный список привилегий, которые необходимы для комплексных Actions. Поэтому такие изменения могут критически сказаться на работоспособности проекта. 

Инструмент action-permissions состоит из двух модулей:

  • Monitor action устанавливает в средство запуска рабочих процессов локальный прокси-сервер, защищенный от передачи информации третьим лицам. Он собирает данные о взаимодействии с API GitHub, которые инициирует процесс, и предлагает рекомендуемые минимальные разрешения как часть сводки. 
  • Advisor action необходим для консолидации сведений от разных запусков рабочего процесса. 

После того, как рекомендации системы применены, можно прекратить использовать модули. Новые разрешения для Actions следует добавлять по мере необходимости. Инструмент action-permissions доступен как open source проект. 


 

Автор:
Аналитик


См. также

Новость ИТ-компания ИТ-Новость

Конструктор сайтов Wix уходит из России с 12 сентября 2024 года – перестанут работать все российский аккаунты. Сайты, привязанные к аккаунтам, также перестанут работать.

11.09.2024    813    user1915669    2       

2

Новость Искусственный интеллект ИТ-Новость

ИИ научат разработке цифровых интегральных микросхем – несколько российских научных институтов заявили об участии в проекте. Проект рассчитан на 3 года – с 2024 по 2026.

23.07.2024    515    user1915669    0       

2

Новость Дата-центры Искусственный интеллект ИТ-Новость

Развитие искусственного интеллекта и цифровых сервисов в России стало причиной роста потребности в мощных центрах обработки данных. Эксперты прогнозируют, что дефицит ЦОД, который уже наблюдается сегодня, в ближайшие годы будет только усиливаться.

18.07.2024    643    AnastasiaKl    0       

1

Новость ИТ-Новость

В сентябре 2024 года видеоигры в России начнут маркировать – пока на добровольной основе. Геймерам будут сообщать о семи видах чувствительного (неприятного) контента в игре.

17.07.2024    696    user1915669    0       

1

Новость Законодательство ИТ-Новость

Депутаты Госдумы работают над законопроектом по ужесточению контроля за электросамокатами. Среди мер: обязательная регистрация СИМ (средств индивидуальной мобильности) и разработка системы отслеживания их перемещений.

10.07.2024    673    AnastasiaKl    2       

1

Новость Искусственный интеллект ИТ-Новость

В 2024 году «Сколково» выделит пилотным проектам в сфере искусственного интеллекта гранты на общую сумму 554 млн рублей. В результате отбора финансирование получат проекты с применением ИИ в областях производства, операционной деятельности и в работе предоставляемых сервисов.

12.04.2024    1406    AnastasiaKl    3       

3

Новость ИТ-Новость

Пятничное: в России вступил в силу стандарт подготовки по дисциплине «спортивное программирование». В стандарт вошли требования к физическим показателям спортсменов и скорости набора текста.

16.02.2024    949    VKuser24342747    2       

1

Новость ИТ-Новость

Федеральное агентство по техническому регулированию и метрологии (Росстандарт) утвердило национальный стандарт протокола LoRaWAN RU, таким образом он получил официальный статус. Технология используется для беспроводной передачи данных между устройствами интернета вещей.

19.01.2024    777    VKuser24342747    0       

2
Подписаться на ответы Инфостарт бот Сортировка: Древо развёрнутое
Свернуть все
Оставьте свое сообщение