GitHub a renforcé la sécurité de son action actions/checkout pour contrer les attaques de type « pwn request » exploitant une utilisation non sécurisée du déclencheur pull_request_target. Cette vulnérabilité permettait à des attaquants d’exécuter leur code avec les privilèges complets du workflow, compromettant ainsi les environnements de développement. (infoworld.com)
Face à une recrudescence des cyberattaques ciblant les environnements de développement, GitHub a annoncé le 18 juin 2026 la mise à jour de actions/checkout en version 7. Cette version bloque désormais automatiquement et échoue les workflows utilisés dans les événements pull_request_target ou workflow_run lorsqu’ils tentent de récupérer du code de pull request provenant de forks non révisés. Les développeurs peuvent contourner cette me en ajoutant explicitement le paramètre allow-unsafe-pr-checkout à actions/checkout. (infoworld.com)
Cette initiative vise à renforcer la sécurité par défaut, en transférant la responsabilité de la configuration sécurisée des workflows de l’utilisateur vers le système GitHub lui-même. Les modifications apportées seront rétroportées à toutes les versions majeures prises en charge le 16 juillet 2026. Les workflows utilisant des versions flottantes majeures (par exemple, actions/checkout@v4) adopteront automatiquement cette mise à jour, tandis que ceux épinglés à des versions spécifiques devront être mis à jour manuellement. (infoworld.com)
Cette évolution intervient après une série d’attaques ciblant des vulnérabilités similaires dans GitHub Actions, notamment des injections de commandes dans des workflows CI, permettant à des attaquants de prendre le contrôle des dépôts et de divulguer des secrets. (securitylab.github.com)
En renforçant la sécurité de actions/checkout, GitHub cherche à protéger les développeurs contre des attaques sophistiquées et à asr l’intégrité des processus d’intégration et de déploiement continu.
