sudo rm -rf --no-preserve-root /|2026年07月01日 11:50
最近我把所有正在维护的代码库都改成了必须使用 _完整提交 SHA_ 的 GitHub Actions。除此之外,所有的任务现在都使用了细粒度权限,下载的binance文件会根据硬编码的 SHA256 哈希值进行验证,依赖项都被固定了版本,并且禁止对 `main`/`master` 分支进行强制推送。真的没有理由让你的主分支上存在悬空提交。否则,任何拥有写入权限但被攻破的人都可能强制推送一个修改过的(并且是恶意的)旧提交版本。
听着,这些措施并不能完全保护你免受供应链攻击,但它们是你可以实施的众多防护措施之一。最终,是这些措施的组合才真正起作用,希望如此。这里是我的 snekmate PR,如果你想看看我做了什么:https://(github.com)/pcaversaccio/snekmate/pull/388
分享至:
脉络
热门快讯
APP下载
X
Telegram
复制链接