Arduino-ESP32项目GitHub Actions安全问题分析与修复

事件概述

近期，Arduino-ESP32开源项目被发现其CI/CD流程中使用了存在潜在问题的第三方GitHub Actions组件。该问题被分配了CVE-2025-30066编号，涉及的是一个名为tj-actions/changed-files的GitHub Action组件存在代码异常，可能导致运行环境中的关键信息被不当访问。

技术背景

GitHub Actions是GitHub提供的持续集成和持续交付(CI/CD)平台，允许开发者自动化构建、测试和部署流程。在开源项目中，通常会使用第三方开发的Action组件来简化常见任务的实现。

Arduino-ESP32项目使用tj-actions/changed-files组件的主要目的是在代码推送时识别变更的文件，以便执行针对性的测试和构建。这个Action组件被广泛应用于许多开源项目中。

问题详情

存在异常的tj-actions/changed-files组件版本存在以下潜在风险：

1. 内存信息访问：异常代码能够访问GitHub Runner运行时的内存信息
2. 关键数据访问：包括环境变量、访问令牌等CI/CD流程中的重要信息可能被访问
3. 供应链影响：由于该Action被广泛使用，影响范围较大

在Arduino-ESP32项目中，该组件被配置在push.yml工作流文件中，用于处理代码推送事件时的自动化流程。

影响范围

该问题直接影响：

1. 使用受影响版本tj-actions/changed-files的所有GitHub仓库
2. 在CI流程中配置了重要信息的项目
3. 依赖Arduino-ESP32项目的下游应用

值得注意的是，除了主项目外，espressif组织下的pytest-embedded项目也使用了相同的风险组件。

解决方案

项目维护团队采取了以下措施：

1. 立即暂停相关Actions工作流
2. 更新依赖组件到安全版本
3. 审查可能被访问的重要信息并进行更新

修复方案通过pull request #11130实现，该PR移除了有风险的依赖或更新到安全版本。

最佳实践建议

针对类似情况，建议开发者：

1. 定期审查CI/CD流程中的第三方依赖
2. 为Actions组件指定固定版本号而非使用latest标签
3. 实施最小权限原则，限制CI流程的访问权限
4. 监控官方安全公告和CVE数据库
5. 考虑使用GitHub的Dependabot等工具自动更新依赖

总结

此次事件凸显了软件供应链安全的重要性，特别是对CI/CD流程中第三方组件的管理。Arduino-ESP32项目团队快速响应并修复问题的做法值得借鉴。开源项目维护者应当建立完善的安全监控和响应机制，以应对潜在的供应链风险。