Il team al lavoro su GitHub ha finalmente risolto una vulnerabilità segnalata da Google ormai più di tre mesi fa. Interessata la funzione Actions messa a disposizione degli sviluppatori per automatizzare e ottimizzare il flusso di lavoro. Il fix è stato implementato in data 16 novembre, due settimane circa dopo che il gruppo di Mountain View ha reso nota pubblicamente la falla e i suoi dettagli,
Risolta la falla di GitHub Actions segnalata da Google
Felix Wilhelm, ricercatore della squadra Project Zero di bigG, aveva definito il problema “altamente vulnerabile ad attacchi di tipo injection”, mentre da GitHub erano giunte rassicurazioni con un’etichetta meno allarmista: “vulnerabilità di sicurezza moderata”.
Restando in tema di sicurezza e continuando a parlare della piattaforma, da ormai un paio d’anni controllata da Microsoft, a inizio ottobre è stato introdotto uno strumento battezzato Code Scanning utile proprio per scovare le falle nel codice dei progetti pubblicati. Si basa sulla tecnologia messa a punto da Semmle, startup acquisita nell’autunno 2019 dal gruppo di Redmond proprio con questa finalità.