#pullrequest

GitHubが、`actions/checkout` の最新版で、よくある「pwn request」攻撃パターンをブロックするようにしました。 ざっくり言うと、権限の強いワークフローの中で、信用できないforkのPull Requestコードをうっかり実行してしまう事故を減らすための変更です。 これ、地味に見えてかなり大事です。CI/CDやGitHub Actionsを触っている人なら「まあ注意していれば大丈夫でしょ」と思いがちですが、攻撃者はその“うっかり”を狙ってきます。しかも `pull_request_target` は、仕組みを理解していないと本当に危ない。 `actions/checkout` v7 が、fork由来の危険なPull Requestのチェックアウトをデフォルトで拒否 対象は主に `pull_request_target` と、条件付きで `workflow_run` GitHubは「pwn request」の典型パターンを減らしたい考え 必要なら `allow-unsafe-pr-checkout: true` で回避もできる ただし、これでActi