Beliebte Tags:
Kosmos Virtualisierung DNS-Sicherheit formale Verifikation Erreichbarkeitsanalyse KI Compilerfehler Makrokonflikt Web-Erweiterung Entwicklungsframework Alle Tags

YAML-Anker in GitHub Actions: Ein Rückschritt?

2025-09-22

GitHub Actions hat kürzlich die Unterstützung für YAML-Anker hinzugefügt, was der Autor als Rückschritt bezeichnet. Der Artikel argumentiert, dass YAML-Anker redundant zu bestehenden Funktionen sind, die Komplexität des Datenmodells erhöhen und CI/CD sowohl für Menschen als auch für Maschinen schwerer verständlich machen. Darüber hinaus macht die fehlende Unterstützung von Merge Keys durch GitHub den einzigartigen Anwendungsfall von YAML-Ankern wirkungslos. Der Autor glaubt, dass dies die Sicherheitsanalyse von GitHub Actions erschwert und empfiehlt, die Unterstützung für YAML-Anker sofort zu entfernen.

Mehr lesen
(blog.yossarian.net)
Entwicklung CI/CD Sicherheit

Optimierung der statischen Analyse von GitHub Actions mit endlichen Zustandsüberträgern

2025-08-18

Der Entwickler des statischen Analysetools zizmor hat seine Erkennung von Template-Injection-Schwachstellen in GitHub Actions mithilfe von Finite-State-Transducern (FSTs) optimiert. Durch die Abbildung von GitHub Actions-Kontextmustern auf ihre logische „Fähigkeit“ reduzierten FSTs die Repräsentationsgröße um eine Größenordnung (von ~240 KB auf ~14,5 KB) und erwiesen sich als schneller und speichereffizienter als vorherige tabellen- und Präfixbaum-basierte Ansätze. Darüber hinaus wird der FST zur Kompilierzeit vorberechnet, wodurch die Startkosten entfallen. Diese Verbesserung reduziert deutlich falsch positive Ergebnisse und erhöht die Effizienz der Erkennung.

Mehr lesen
(blog.yossarian.net)
Entwicklung endlicher Zustandsüberträger

Umgehung von GitHub Actions-Richtlinien: Eine triviale Umgehung scheinbar sicherer Richtlinien

2025-06-11

GitHub Actions bietet einen Richtlinienmechanismus, um die in einem Repository, einer Organisation oder einem Unternehmen verwendbaren Aktionen und wiederverwendbaren Workflows einzuschränken. Dieser Mechanismus ist jedoch leicht zu umgehen. Durch Klonen des Aktions-Repositories in das Dateisystem des Runners und anschließende Verwendung einer lokalen Pfadreferenz zum Ausführen derselben Aktion wird die Richtlinie trivial umgangen. Dies macht die scheinbar sichere Richtlinie wirkungslos. Der Autor fordert GitHub auf, diese Schwachstelle zu beheben, um zu verhindern, dass Entwickler fälschlicherweise glauben, dass die Richtlinien eine Sicherheitsgrenze bieten, die nicht existiert.

Mehr lesen
(blog.yossarian.net)
Entwicklung Richtlinienumgehung

Der Makefile-Effekt: Warum wir Konfigurationsdateien kopieren und einfügen

2025-01-11

Dieser Beitrag untersucht den verbreiteten „Makefile-Effekt“ in der Softwareentwicklung: Ingenieure kopieren und passen bestehende Konfigurationsdateien (wie Makefiles, CI/CD-Konfigurationen usw.) an, anstatt sie von Grund auf neu zu schreiben. Der Autor argumentiert, dass dies nicht unbedingt schlecht ist, deutet aber darauf hin, dass Tools möglicherweise zu komplex sind und an guter Diagnose- und Debugging-Unterstützung mangeln, was sie ineffizient und unsicher macht. Der Beitrag schließt mit Design-Empfehlungen zur Minimierung dieses Effekts, um die Entwicklungseffizienz und -sicherheit zu verbessern.

Mehr lesen
(blog.yossarian.net)
Entwicklung Tool-Design