github action 会不会暴露 github 账号

2024-03-24 12:35:38 +08:00

s1461a

使用 github action 向阿里镜像服务推送 docker 镜像，会不会暴露自己的 github 账号信息，例如邮箱。

2748 次点击

所在节点

程序员

6 条回复

ProxyXAI

2024-03-24 12:41:47 +08:00

关键信息是加密的环境变量, 别人看不到

kdwnil

2024-03-24 13:40:03 +08:00

Secrets 里的值都会被替换成星星，不论那个变量有没有被用到，担心就把你的邮箱什么的随便命个名丢进去

crackidz

2024-03-24 13:40:19 +08:00

不会，推送时候只是执行的 docker 命令

kwater

2024-03-24 23:21:25 +08:00

有的地方会传递你的 token ，但无法定位到人。除非你主动硬码写死

CC11001100

2024-03-25 00:40:05 +08:00

当用到了 action 的时候要注意防止供应链攻击，不要合并不可信的代码和引入不可信的依赖库，否则就可能会被盗取 security token 之类的，比如下面就是一个通过 action 盗取 security token 的示例：
https://github.com/no-one-sec/github-action-secrets-stealer

flyqie

2024-03-25 09:11:16 +08:00

@CC11001100 #5

不能算是盗取吧，本身就是在执行 action 的时候传进去明文来用的，只是用户无法在管理页面获取明文，这也就意味着 action 内的相关应用做什么都是可能的。。

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1026473

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.