Hva skjer?
I lys av nylige angrep mot kjente åpenkildeprosjekter som benytter GitHub Actions, har Tech Lead Forum bestemt å stramme inn i rettighetene Github Action kjøringer har som standard. Dette gir en mye forbedret sikkerhet for vår GitHub organisasjon fremover. Når innstrammingen skjer er det mulig at enkelte Github Actions workflower slutte å fungere.
Hvem er rammet?
De alle fleste blir ikke rammet av denne endringen. Tech Coachene har sjekket Github Actions workflower i standard stat-repoene, og de er ikke påvirket. Det kan hende noen ekspertteam som har særegen oppsett blir rammet.
De som kan være rammet: - Bruker GITHUB_TOKEN til autentisering i Workflow - Utfører operasjoner som trenger rettigheter utover les - Har ikke satt rettighetene de trenger/bruker i Github Actions workflowen eksplisitt
Når skal det skje?
Innstramming av rettigheten vil utføres onsdag 3. juni 2026 kl 09
Dersom jeg er rammet, hvordan fikser jeg problemene?
I utgangspunktet er det bare å sette rettighetene i Workflowen eksplisitt. F.eks
permissions:
contents: writeMer informasjon
- https://github.blog/changelog/2021-04-20-github-actions-control-permissions-for-github_token/
- https://docs.github.com/en/actions/tutorials/authenticate-with-github_token
- Ta kontakt med en Tech Coach eller Tech Lead forum om du har spørsmål eller utfordringer knyttet til endringen