威胁类型：利用开源构建服务篡改代码

• 威胁编号：T4-2-1
• 威胁分类：恶意篡改-构建阶段篡改
• 威胁描述：攻击者通过攻击或利用开源构建服务（如 github actions）的漏洞，在软件构建过程中注入恶意代码。

威胁案例

• 2023年 GitHub Pwn Request攻击：2023年，安全公司 Praetorian 披露了多个知名GitHub仓库中的 Pwn Request 漏洞。攻击者可以通过向开源项目提交 PR 来修改工作流配置，从而在构建过程中执行恶意代码、窃取敏感的密钥信息。

解决方案

1. 企业研发场景中避免直接使用开源构建服务进行构建，而使用企业内部的构建服务。
2. 针对GitHub Actions，使用GitHub Actions 工作流安全加固中的加固方案。

参考链接

• [Pwn Request风险]https://www.praetorian.com/blog/pwn-request-hacking-microsoft-github-repositories-and-more/
• GitHub Actions 工作流安全加固