Actions Toolkit 项目中 undici 依赖的安全问题分析与修复

问题背景

在 Node.js 生态系统中，undici 是一个高性能的 HTTP/1.1 客户端，被广泛用于需要高效网络请求的场景。Actions Toolkit 作为 GitHub Actions 的核心工具库，其多个包（如 http-client 和 attest）都依赖 undici 来实现网络通信功能。

问题详情

近期发现 undici 库存在一个需要关注的安全问题（CVE-2025-22150），该问题可能影响所有使用低于 5.28.5 版本的 undici 的项目。这个问题的具体表现是可能允许通过特定构造的请求导致服务端异常或潜在的信息暴露。

影响范围

在 Actions Toolkit 项目中，主要影响以下两个部分：

1. http-client 包：作为核心网络通信组件，直接依赖 undici 实现 HTTP 请求
2. attest 包：在开发依赖中使用 undici 进行相关验证操作

技术分析

undici 作为 Node.js 原生的 http 模块的替代方案，其设计目标是提供更高的性能和更低的资源消耗。然而，正是这种追求性能的设计，在某些边界条件下可能产生安全问题。

这个特定问题（CVE-2025-22150）涉及请求处理过程中的异常情况处理不当，可能导致以下风险：

• 服务异常：可能发送特定格式的请求导致服务异常
• 信息暴露：在某些配置下可能暴露部分内存信息
• 请求处理异常：可能绕过某些限制

修复方案

Actions Toolkit 维护团队迅速响应，通过以下提交解决了这个问题：

1. 将 http-client 包中的 undici 依赖升级到安全版本（5.28.5 或更高）
2. 同时更新了 attest 包开发依赖中的 undici 版本

这种及时更新确保了所有使用 Actions Toolkit 的项目都能自动获取安全修复，而无需开发者手动干预。

最佳实践建议

对于使用类似工具链的开发者，建议：

1. 定期检查项目依赖的安全公告
2. 配置自动化工具监控依赖安全状态
3. 理解项目关键依赖的安全更新机制
4. 建立依赖更新的评估和测试流程

总结

开源生态系统的安全性依赖于社区的快速响应和协作。Actions Toolkit 团队对 undici 问题的及时修复展示了良好的实践，为依赖此工具链的项目提供了安全保障。作为开发者，我们应当保持警惕，建立完善的安全更新机制，确保项目依赖始终处于安全状态。