热门GitHub Action tj-actions/changed-files 遭到入侵

热门GitHub Action tj-actions/changed-files 遭到入侵
Popular GitHub Action tj-actions/changed-files is compromised

原始链接: https://semgrep.dev/blog/2025/popular-github-action-tj-actionschanged-files-is-compromised/

Semgrep 允许安全团队与开发人员合作，自然地左移安全，而不会造成阻碍。Semgrep 让安全团队确信他们只向开发人员呈现真实可行的漏洞，并使开发人员能够轻松地在现有环境中修复这些问题。

据semgrep.dev的报告，一个流行的GitHub Action，tj-actions/changed-files，遭到入侵。Step Security公司首先发现了这一问题，并在博客文章中详细介绍了受损运行器的检测方法。最初引用semgrep.dev的Hacker News帖子引发了讨论，有评论者建议Step Security的博客文章提供了更好的信息来源。另一位评论者建议将讨论与一篇重复的帖子合并。“dang”版主确认已将评论合并到已识别的重复帖子中。核心问题在于一个广泛使用的GitHub Action的安全漏洞，这引发了对其使用项目的潜在风险的担忧。

用于发送恶意软件的 GitHub 通知电子邮件 2024-09-21

（评论） 2024-01-15

SSH审计：SSH服务器和客户端安全审计 2023-10-17

（评论） 2024-04-01

原文

About

Semgrep lets security teams partner with developers and shift left organically, without introducing friction. Semgrep gives security teams confidence that they are only surfacing true, actionable issues to developers, and makes it easy for developers to fix these issues in their existing environments.

热门GitHub Action tj-actions/changed-files 遭到入侵 Popular GitHub Action tj-actions/changed-files is compromised

热门GitHub Action tj-actions/changed-files 遭到入侵
Popular GitHub Action tj-actions/changed-files is compromised