هل تريد نشرة يومية مجانية مخصصة؟ اختر فقط المواضيع التي تهمك ووفّر وقتك.

جيت هاب تشدد actions/checkout ضد هجمات pwn request

ملخص للمقال
  • أعلنت جيت هاب تشدد actions/checkout ضد هجمات pwn request عبر سلوك افتراضي جديد بدأ 18 يونيو 2026 لمنع تشغيل كود غير موثوق بصلاحيات مرتفعة داخل GitHub Actions
  • يركز تحديث جيت هاب actions/checkout على workflows التي تستخدم pull_request_target، لأنها أخطر نقطة عند استقبال طلبات سحب من fork خارجي داخل المستودعات الحساسة
  • هجمات pwn request تحدث عندما يجلب workflow كود fork خبيث ويشغله، ما قد يسرّب GITHUB_TOKEN والأسرار ويتيح تلويث cache وتنفيذ أوامر ضارة
  • وفق الآلية الجديدة، يرفض actions/checkout افتراضياً جلب كود fork في السيناريوهات غير الآمنة، ولا يمكن تجاوز الحماية إلا عبر allow-unsafe-pr-checkout=true بشكل صريح
  • بدأت GitHub تفعيل الحماية الجديدة في 18 يونيو 2026، مع توسيعها إلى الإصدارات الرئيسية المدعومة في 16 يوليو 2026 لتغطية مستخدمين أكثر
  • التأثير على المستخدمين يتمثل في تقليل مخاطر سرقة الرموز والأسرار مقارنة بالإعدادات السابقة، مع توقع تشديدات إضافية مستقبلاً على أمان GitHub Actions والـ workflows
هل تريد نشرة يومية مجانية مخصصة؟ اختر اهتماماتك هنا
جيت هاب تشدد actions/checkout ضد هجمات pwn request
محتوى المقال
جاري التحميل...
تحديث أمني من جيت هاب

أعلنت جيت هاب actions/checkout عن تحديث أمني جديد يوقف أنماط هجمات pwn request الشائعة، لحماية الأسرار ورموز الوصول داخل GitHub Actions.

ما هو تحديث جيت هاب actions/checkout الجديد؟

بدأت GitHub اعتباراً من 18 يونيو 2026 بتفعيل سلوك افتراضي جديد داخل action الرسمية الخاصة بجلب المستودع إلى بيئة التشغيل. الهدف هنا هو منع السيناريوهات غير الآمنة التي تسمح بتشغيل كود غير موثوق بصلاحيات مرتفعة.

التغيير يركز على workflows التي تستخدم trigger المعروف باسم pull_request_target، وهو من أكثر النقاط الحساسة في منظومة GitHub Actions عندما يتعلق الأمر بطلبات السحب القادمة من fork خارجي.

متى يصل التحديث إلى الإصدارات المدعومة؟

  • تفعيل السلوك الجديد بدأ في 18 يونيو 2026.
  • التوسعة إلى الإصدارات الرئيسية المدعومة متوقعة في 16 يوليو 2026.
  • الإعداد غير الآمن يمكن تجاوزه فقط عبر allow-unsafe-pr-checkout=true.

كيف تعمل هجمات pwn request داخل جيت هاب؟

تظهر هجمة pwn request عندما ينجح مهاجم في إرسال pull request من مستودع fork يحتوي على سكربتات خبيثة، ثم يقوم workflow غير محمي بتحميل هذا الكود وتشغيله داخل بيئة تملك صلاحيات المشروع الأصلي.

المشكلة الأخطر أن trigger من نوع pull_request_target يعمل في سياق الفرع الافتراضي للمستودع الأساسي، ما قد يمنح الكود الخبيث وصولاً إلى GITHUB_TOKEN، والأسرار، وذاكرة التخزين المؤقت الخاصة بالمشروع.

  • سرقة GITHUB_TOKEN بصلاحيات قراءة وكتابة.
  • الوصول إلى secrets المخزنة في المستودع.
  • تلويث cache الخاصة بخطوط البناء والنشر.
  • تنفيذ أوامر ضارة داخل workflow بامتيازات كاملة.

متى يرفض actions/checkout جلب كود الـ fork؟

بحسب الآلية الجديدة، سيرفض actions/checkout بشكل افتراضي جلب كود طلبات السحب القادمة من fork داخل pull_request_target، وكذلك في بعض حالات workflow_run عندما يكون الحدث الأصلي مرتبطاً بطلب سحب.

هذا يعني أن كثيراً من الأنماط التي كانت تعمل سابقاً ستفشل الآن إذا اعتمدت على مدخلات غير آمنة. ووفقاً لرصد تيكبامين، فإن هذا التغيير يستهدف أكثر أساليب الاستغلال انتشاراً داخل بيئة الأتمتة الخاصة بالمطورين.

ما الذي يجب على المطورين مراجعته الآن؟

  • فحص workflows التي تستخدم pull_request_target.
  • التأكد من عدم تشغيل كود غير موثوق من fork مباشر.
  • مراجعة أي checkout لفرع head غير مُراجع.
  • عدم تعطيل الحماية الجديدة إلا عند وجود سبب واضح ومدروس.

لماذا يعد هذا التحديث مهماً لأمن سلسلة التوريد البرمجية؟

أهمية القرار تتجاوز GitHub Actions نفسها، لأنه يمس أمن سلسلة التوريد البرمجية بالكامل. أي اختراق في pipeline التطوير قد ينتقل سريعاً إلى الحزم، وأدوات البناء، وحتى تحديثات المستخدمين النهائيين.

خلال الأشهر الماضية، استُخدمت هذه الفكرة في هجمات حقيقية استهدفت مشاريع معروفة، وهو ما دفع جيت هاب إلى تشديد القواعد بدلاً من الاكتفاء بالتحذيرات النظرية. لذلك، فإن جيت هاب actions/checkout لم يعد مجرد تحديث تقني بسيط، بل خطوة دفاعية مباشرة ضد إساءة استخدام الامتيازات.

الخلاصة أن المطورين بحاجة إلى مراجعة workflows الحساسة فوراً، خصوصاً تلك التي تتعامل مع forks وطلبات السحب الخارجية. كما يرى تيكبامين، فإن تبني هذا التغيير مبكراً يقلل مخاطر هجمات pwn request ويحسن أمن بيئات التطوير والنشر على المدى الطويل.

التعليقات (1)


أضف تعليقك

عدد الأحرف: 0 يدعم: **نص غامق** *مائل* `كود` [رابط](url)

مقالات مرتبطة

الكلمات المفتاحية:

#الأمن السيبراني #جيت هاب #GitHub

مقالات مقترحة

محتوى المقال
جاري التحميل...