V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
s1461a
V2EX  ›  程序员

github action 会不会暴露 github 账号

  •  
  •   s1461a · 248 天前 · 2358 次点击
    这是一个创建于 248 天前的主题,其中的信息可能已经有所发展或是发生改变。

    使用 github action 向阿里镜像服务推送 docker 镜像,会不会暴露自己的 github 账号信息,例如邮箱。

    6 条回复    2024-03-25 09:11:16 +08:00
    ProxyXAI
        1
    ProxyXAI  
       248 天前
    关键信息是加密的环境变量, 别人看不到
    kdwnil
        2
    kdwnil  
       248 天前 via Android
    Secrets 里的值都会被替换成星星,不论那个变量有没有被用到,担心就把你的邮箱什么的随便命个名丢进去
    crackidz
        3
    crackidz  
       248 天前   ❤️ 1
    不会,推送时候只是执行的 docker 命令
    kwater
        4
    kwater  
       247 天前
    有的地方会传递你的 token ,但无法定位到人。 除非你主动硬码写死
    CC11001100
        5
    CC11001100  
       247 天前
    当用到了 action 的时候要注意防止供应链攻击,不要合并不可信的代码和引入不可信的依赖库,否则就可能会被盗取 security token 之类的,比如下面就是一个通过 action 盗取 security token 的示例:
    https://github.com/no-one-sec/github-action-secrets-stealer
    flyqie
        6
    flyqie  
       247 天前 via Android
    @CC11001100 #5

    不能算是盗取吧,本身就是在执行 action 的时候传进去明文来用的,只是用户无法在管理页面获取明文,这也就意味着 action 内的相关应用做什么都是可能的。。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5504 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 06:52 · PVG 14:52 · LAX 22:52 · JFK 01:52
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.