Policy Driven PRs 现已支持将第三方 Actions 升级为 StepSecurity 维护版本,覆盖您的整个组织
我们一直在帮助客户使用 StepSecurity 维护的 Actions 和 Policy Driven PRs 来保护其 CI/CD 管道安全。
但仍有一个手动步骤需要完成——将存在风险的第三方 Actions 替换为 StepSecurity 的安全直接替换操作,需要逐个仓库进行繁琐的更新。
今天,我们很高兴地宣布,Policy Driven PRs 现在可以在整个组织内自动将第三方 GitHub Actions 替换为 StepSecurity 维护的 Actions。
为什么这很重要
在深入了解其工作原理之前,让我们先看看 StepSecurity 维护的 Actions 是什么,以及它们为何是保护 CI/CD 管道的变革性解决方案。
什么是 StepSecurity 维护的 Actions?
StepSecurity 维护的 Actions 是由我们的安全工程团队维护的一系列可信 GitHub Actions。它们旨在降低因第三方 Actions 被入侵而导致的供应链攻击风险,同时增强工作流程的安全性、可靠性和一致性。
我们维护这些 Actions 的原因
我们根据企业客户的需求来纳入 Actions,尤其是当这些 Actions:
-已被原始维护者放弃 -由单一开发者维护 -收到低安全评分(基于 OpenSSF ScoreCard) -需要提升的权限(如访问仓库密钥),这可能增加安全风险
案例对比
为了理解这些缓解措施的重要性,让我们看两个涉及 GitHub Actions 的真实安全事件:
- tj-actions/changed-files: 一次入侵事件发生在具有仓库访问权限的持久性机器人账户被利用来更新标签时。
StepSecurity Actions 通过避免持久性凭证并在发布时需要基于环境的审批来消除这种风险。
- reviewdog actions: 由于过度宽松的访问控制,安全性被破坏——向 reviewdog/action-* 仓库提交代码的贡献者会被自动添加到 reviewdog/actions-maintainer 团队,而该团队对这些仓库具有写访问权限。
StepSecurity 将访问权限限制为仅限我们专门的维护团队。
使用 Policy Driven PRs 自动化安全替换
即使存在安全的 StepSecurity 维护的 Action,手动更新所有仓库中的每个工作流程也是繁琐且容易出错的——尤其是当您管理数十个仓库时。
这就是为什么我们将 Policy Driven PRs 扩展为自动化第三方 Action 替换。
优势
- 无需再手动搜索和替换
- 无需再为每个仓库创建重复的 PR
- 在几分钟内即可在整个组织范围内执行安全策略
工作原理
以下是配置自动化 Action 替换的方法:
步骤 1:导航到 StepSecurity 仪表板
Picture 1198820695, Picture
步骤 2:点击"Orchestrate Security"下拉菜单
Picture 708152870, Picture
步骤 3:点击"Policy Driven PRs"
Picture 1519773375, Picture
步骤 4:点击"Select Actions"选择您希望由 StepSecurity 维护的 Action 替换的所有 Actions
Picture 1285191202, Picture
步骤 5:在此步骤中,您将看到组织中当前使用的第三方 Actions 列表,这些 Actions 都有由 StepSecurity 维护的安全直接替换版本。
Picture 1453640382, Picture
步骤 6:当自动创建 PR 时,您可以看到 Action 已被替换为 StepSecurity Action
Picture 1528365560, Picture
大规模安全 Actions
此增强功能使您比以往任何时候都更容易确保工作流程使用安全、经审计的 Actions,同时团队只需付出最少的努力。
🔒 此功能目前仅适用于 Enterprise 层级用户。
通过安装 StepSecurity 应用 开始您的 14 天免费试用。
🛡️ 已经在使用 StepSecurity Enterprise 层级?立即登录您的仪表板,开始自动化第三方 Action 替换。
🎙️ 参加网络研讨会
加入我们的直播活动,了解 StepSecurity 如何通过自动化 GitHub Actions 治理来帮助您降低风险并节省时间。我们将演示新功能,分享实施技巧,并回答您的问题。