Zizmor项目中发现复合动作模板注入问题的案例分析

问题背景

在GitHub Actions的复合动作(composite action)使用过程中，存在一种常见的安全风险——模板注入问题。这类问题通常发生在YAML配置文件中，当用户输入被直接嵌入到shell命令中执行时，可能通过精心构造的输入参数执行非预期代码。

问题详情

在审查一个使用Zizmor工具进行安全审计的项目时，发现了复合动作文档中存在模板注入风险。具体表现为在mike-docs动作中，有三个用户输入参数(inputs.push、inputs.alias和inputs.version)被直接嵌入到shell命令中执行。

技术分析

该问题的核心在于GitHub Actions的模板表达式(${{ }})会在shell命令执行前进行展开。这意味着如果能够控制这些输入参数，就可能注入特殊字符或命令，导致非预期的命令执行。

例如在以下代码片段中：

uv run mike deploy ${{ inputs.version }} ${{ inputs.alias }} "${MIKE_OPTIONS[@]}"

三个用户输入参数直接暴露在命令中，存在潜在的安全风险。Zizmor工具正确地识别出了这三个独立的注入点，虽然它们出现在同一代码位置，但实际上是三个不同的安全问题。

修复方案

针对这类模板注入问题，推荐的安全修复方案是通过环境变量中转用户输入：

1. 首先将用户输入赋值给环境变量
2. 然后在shell命令中引用这些环境变量

修复后的代码示例如下：

- env:
    DOCS_PRERELEASE: ${{ inputs.pre_release }}
    INPUTS_PUSH: ${{ inputs.push }}
    INPUTS_VERSION: ${{ inputs.version }}
    INPUTS_ALIAS: ${{ inputs.alias }}
  run: |
    MIKE_OPTIONS=( "--update-aliases" )
    if [ "true" = "${INPUTS_PUSH}" ]; then
      MIKE_OPTIONS+=( "--push" )
    fi
    uv run mike deploy "${INPUTS_VERSION}" "${INPUTS_ALIAS}" "${MIKE_OPTIONS[@]}"
  shell: bash

这种修复方式确保了用户输入会先被shell正确处理和转义，然后再作为参数传递给命令，有效防止了命令执行的可能性。

安全工具的价值

Zizmor这类静态分析工具在DevSecOps流程中发挥着重要作用。它能够：

1. 自动化识别常见的安全反模式
2. 在开发早期阶段发现潜在问题
3. 提供具体的修复建议
4. 集成到CI/CD流程中实现安全左移

特别是对于复合动作这类相对较新的GitHub Actions特性，专业的安全审计工具能够帮助开发者避免常见的安全陷阱。

总结

模板注入是GitHub Actions工作流中常见的安全风险，特别是在使用复合动作时。通过本案例我们可以看到：

1. 用户输入应该通过环境变量中转，而不是直接嵌入命令
2. 同一代码位置可能存在多个独立的安全风险
3. 静态分析工具能够有效识别这类问题
4. 安全修复应该考虑防御性编程原则

开发者在使用GitHub Actions时，应当特别注意用户输入的处理方式，避免直接将模板表达式嵌入到可执行命令中。采用环境变量中转的方式是更安全的做法，能够有效防范命令执行风险。