DOS5915: Actions Variable - Value should not contain insecure 'http://' URLs | Security KB - DevOps Shield - La plateforme DevSecOps ultime conçue pour sécuriser votre DevOps.

Ce site Web stocke des témoins sur votre ordinateur. Ces témoins servent à recueillir des renseignements sur la façon dont vous interagissez avec notre site Web et nous permettent de nous souvenir de vous. Nous utilisons ces renseignements pour améliorer et personnaliser votre expérience de navigation, ainsi que pour des analyses et des mesures concernant nos visiteurs, tant sur ce site Web que sur d’autres médias. Pour en savoir plus sur les témoins que nous utilisons, consultez notre Politique de confidentialité.

Si vous refusez, vos renseignements ne seront pas suivis lorsque vous visiterez ce site Web. Un seul témoin sera utilisé dans votre navigateur pour mémoriser votre préférence de ne pas être suivi. En cliquant sur « Tout accepter », vous acceptez le stockage de témoins sur votre appareil pour améliorer la navigation sur le site, analyser l’utilisation du site et nous aider dans nos efforts de marketing.

GitHub repository Severityhigh builtIn

Description

GitHub Actions variable values are exposed to every workflow run. A value containing 'http://' (instead of 'https://') configures workflows to talk to backend services over plaintext, allowing in-transit interception of the workflow's data and credentials. Update the value to use 'https://'. (HTTPS may not be appropriate for purely internal localhost development URLs that never reach a real network; treat such cases as exemptions.)

En savoir plus

https://docs.github.com/en/actions/security-guides/security-hardening-for-github-actions

Recommandation

1. Go to Repository or Organization Settings -> Secrets and variables -> Actions -> Variables. 
2. For each variable whose value contains http://, edit the value to use https:// where the backend supports TLS. 
3. For variables that genuinely need plaintext local URLs, document the exemption.

Règle de politique

{
  "target": "GHActionsVariable",
  "if": {
    "allOf": [
      {
        "resource": "GHActionsVariable",
        "property": "Value",
        "operator": "notContains",
        "value": "http://"
      }
    ]
  },
  "then": {
    "effect": "Audit"
  }
}

« DOS5910 DOS5920 »

Détails de la règle

ID de la règle: DOS5915
Code: GH_Repository_Actions_Variable_Value_Should_Not_Contain_Http
Plateforme: GitHub
Catégorie: repository
Sévérité: Severityhigh
Type: builtIn

DOS5915

Actions Variable - Value should not contain insecure 'http://' URLs

DOS5915

Description

Recommandation

Règle de politique

Voir la logique d'évaluation (JSON)

Détails de la règle

Règles connexes