GitHub บังคับเจ้าของโครงการยืนยันรัน Actions จาก Pull Request หลังถูกนำไปใช้ขุดเงินคริปโต

GitHub ปรับบริการ GitHub Actions ให้เจ้าของโครงการต้องยืนยันรัน workflow ทุกครั้งเมื่อมี pull request จากภายนอก หลังจากก่อนหน้านี้มีคนร้ายสร้าง pull request รันโค้ดขุดเงินคริปโตจนกระทั่งนักพัฒนาเจ้าของโครงการถูกแบน

แนวทางใหม่นี้ผู้ดูแลโครงการจะต้องยืนยันรัน workflow เองทุกครั้งที่มี pull request เข้ามาใหม่ และเมื่อนักพัฒนานั้นต้องการแก้ไขโค้ดที่ส่งเข้ามาใน commit เดียวกันจะสามารถรัน workflow ต่อไปได้เลย แต่หากเป็น commit ใหม่จะต้องขออนุญาตใหม่อีกครั้ง

นอกจากแนวทางการยืนยันก่อนรัน workflow แล้ว ทาง GitHub ยังแก้เงื่อนไขบริการ เน้นแบนบัญชีผู้ส่ง pull request ขุดเงินคริปโตแทนที่จะไปแบนเจ้าของโครงการที่เป็นเหยื่อจากการส่ง pull request เหล่านี้

แนวทางนี้ทำให้ผู้ดูแลโครงการโอเพนซอร์สจะมีงานมากขึ้นเพราะไม่สามารถปล่อยให้ workflow รันอัตโนมัติก่อนเข้าตรวจสอบ pull request ได้อีกต่อไป แต่ทาง GitHub ก็ระบุว่าได้พูดคุยกับนักพัฒนาแล้วว่าแนวทางนี้เป็นแนวทางที่สมดุล แต่หลังจากนี้จะเพิ่มการตั้งค่าให้เจ้าของโครงการปรับแต่งได้มากขึ้น

ที่มา – GitHub

No Description

from:https://www.blognone.com/node/122354