Summary
GitHub Actions 워크플로우에서 actions/checkout@v4 같은 태그 참조를 사용하고 있습니다. 태그는 변경 가능하므로 supply chain 공격에 취약합니다.
Proposed Solution
모든 외부 액션을 SHA로 고정:
# Before
- uses: actions/checkout@v4
# After
- uses: actions/checkout@<full-sha> # v4.x.x
Dependabot이나 Renovate로 SHA 자동 업데이트 설정 권장.
Severity
MEDIUM — supply chain risk via mutable action tags
Summary
GitHub Actions 워크플로우에서
actions/checkout@v4같은 태그 참조를 사용하고 있습니다. 태그는 변경 가능하므로 supply chain 공격에 취약합니다.Proposed Solution
모든 외부 액션을 SHA로 고정:
Dependabot이나 Renovate로 SHA 자동 업데이트 설정 권장.
Severity
MEDIUM — supply chain risk via mutable action tags