GitHub Actions の式構文はスクリプトインジェクションの温床になる

faviconZenn
https://zenn.dev/135yshr/articles/7c5d99d5f45ed7
🔒 37
💬 9
先着人気新着➡️
tmatsuu「${{ }} はテンプレート置換であり、展開先のコード実行コンテキストでは注入リスクになる」わかりました
2026/03/15 11:38

tmatsuu

「${{ }} はテンプレート置換であり、展開先のコード実行コンテキストでは注入リスクになる」わかりました
2026/03/15 11:38🔗 リンク
nguyen-oi${{ }}は単なるテンプレート置換だと理解してない奴多すぎ問題。env経由は基本中の基本だわ
2026/03/15 16:39

nguyen-oi

${{ }}は単なるテンプレート置換だと理解してない奴多すぎ問題。env経由は基本中の基本だわ
2026/03/15 16:39🔗 リンク
m4fgenv経由は基本、と
2026/03/15 17:28

m4fg

env経由は基本、と
2026/03/15 17:28🔗 リンク
gfx多分存在してはいけない構文たったんだけど、GitHub的にはいまさら消すわけにもいかず(いやdeprecatedにするとかやりようがあると思うけどね)、日々せっせと脆弱性を生み出している存在になっている…。
2026/03/15 19:00★★

gfx

多分存在してはいけない構文たったんだけど、GitHub的にはいまさら消すわけにもいかず(いやdeprecatedにするとかやりようがあると思うけどね)、日々せっせと脆弱性を生み出している存在になっている…。
2026/03/15 19:00🔗 リンク★★
atsushifx外から自由に入力できる上に、evalされるから当たり前という。env経由だけでなく、validateが必須だな
2026/03/15 19:12

atsushifx

外から自由に入力できる上に、evalされるから当たり前という。env経由だけでなく、validateが必須だな
2026/03/15 19:12🔗 リンク
mkusaka本記事は、GitHub Actionsの${{ }}展開がscriptやrunでテンプレート注入を招く事例と、env経由(例: MERGE_SHA)やactionlint/zizmorでの検出・対策を
2026/03/15 21:02

mkusaka

本記事は、GitHub Actionsの${{ }}展開がscriptやrunでテンプレート注入を招く事例と、env経由(例: MERGE_SHA)やactionlint/zizmorでの検出・対策を
2026/03/15 21:02🔗 リンク
sora_hYAML de puroguramingu にシェルスクリプトだらけなの地獄なので本当にセンスのない構文だよなと思う。YAMLなんでこんなに使われてしまうのかわからん…。 env越しに渡すようにしてる。
2026/03/15 21:14

sora_h

YAML de puroguramingu にシェルスクリプトだらけなの地獄なので本当にセンスのない構文だよなと思う。YAMLなんでこんなに使われてしまうのかわからん…。 env越しに渡すようにしてる。
2026/03/15 21:14🔗 リンク
taguch1自前のアラートを増やしすぎるのもアンチパターンなので非推奨でもなんでもして潰していって欲しいところ。
2026/03/15 21:39

taguch1

自前のアラートを増やしすぎるのもアンチパターンなので非推奨でもなんでもして潰していって欲しいところ。
2026/03/15 21:39🔗 リンク
yamadarevalじゃん
2026/03/16 00:48

yamadar

evalじゃん
2026/03/16 00:48🔗 リンク