zizmor/

unpinned-uses

zizmorの audit。uses: で third-party action を tag や branch 名（@v3、@main）で参照し、コミットSHAで pin していないケースを検出する

検出例

- uses: pypa/gh-action-pypi-publish@v1.12.4
- uses: docker://ubuntu

なぜ危険か

上の @v1.12.4 (action tag) や docker://ubuntu (image tag 省略) は publisher 側で参照先を書き換え可能 — 過去に正当だったタグが後日マルウェア入りコミットを指すよう移動されると、CI を信用しているワークフロー全てが侵害される
近年の tj-actions/changed-files 事件はこのパターン: 同一 tag が遡及的に汚染されたコミットへ rebound された
SHA は immutable なので、内容が変わらないことを暗号学的に保証できる

改善例

- uses: pypa/gh-action-pypi-publish@76f52bc884231f62b9a034ebfe128415bbaabdfc  # v1.12.4
- uses: docker://ubuntu:24.04

Fetching description...

zizmor

#Security #Continuous Integration GitHub Actionsワークフローの静的解析を行うSASTツール。サプライチェーン攻撃や認証情報窃取につながる workflow 設定の不備を検出する Rust製。.github/workflows/ 配下の YAML を解析し、命名された audit ID 単位で検出 / ignore を行える主な audit カテゴリ: dangerous-triggers template-injection unpinned-uses excessive-permissions overprovisioned-secrets https://zizmor.sh/ https://github.com/zizmorcore/zizmor
zizmor/

excessive-permissions

#Security zizmorの audit。workflow / job レベルの permissions: が、その job が実際に必要とする以上の write 権限を持っているケースを検出する検出例 permissions: id-token: write jobs: build: runs-on: ubuntu-latest publish: runs-on: ubuntu-latest steps: - uses: pypa/gh-action-pypi-publish@... なぜ危険か上の例は workflow ルートで id-token: write を宣言しており、実際に必要なのは publish job のみ。build job にも同じ権限が継承される build 内で third-party action が侵害された場合（unpinned-uses）、本来不要な id-token: write も奪われる被害は job が持つ GITHUB_TOKEN のスコープに比例する。最小権限の原則を CI トークンにも適用する改善例 permissions: {} jobs: build: runs-on: ubuntu-latest publish: runs-on: ubuntu-latest permissions: id-token: write steps: - uses: pypa/gh-action-pypi-publish@... https://docs.zizmor.sh/audits/#excessive-permissions