Github-Actions

A múlt héten egy teljes szombatot azzal töltöttem, hogy végigauditáltam minden GitHub Actions workflowt az összes repónkban. Nem azért, mert akartam, hanem azért, mert a Trivy elleni supply chain támadás ráébresztett, milyen vékony jégen táncolok. Ha lemaradtál volna: valaki sikeresen becsempészett egy rosszindulatú commitot az actions/checkout actionbe, kihasználva a GitHub fork commit elérhetőségi mechanizmusát. Kicseréltek egy SHA pint a Trivy release workflowjában úgy, hogy egy fork-ban lévő árva commitra mutasson. A commit legitimnek tűnt, a komment azt mondta # v6.0.2, a szerző egy valódi maintainer nevével volt meghamisítva. A tényleges payload Go fájlokat töltött le egy elgépelt domainről és kicserélte a Trivy forráskódját a build során. ...

Múlt kedden az egyik Go szolgáltatásom egy nap alatt 14 Dependabot PR-t kapott. Ugyanahhoz az egy CVE-hez tartoztak, de a mi futó kódunkat valójában nem érintették. Ettől még végig kellett nézni az alertet, reviewzni a PR-eket, megvárni a CI-t, majd mergelni. Itt döntöttem el, hogy ebben a folyamatban nálunk ennyi volt a Dependabot. Mi volt az utolsó csepp A konkrét eset a CVE-2026-26958 volt a filippo.io/edwards25519 modulban. A sebezhetőség a (*Point).MultiScalarMult metódust érintette, amit a legtöbb projekt nem hív. A javítás is pici volt. Ennek ellenére a Dependabot rengeteg PR-t nyitott Go repókban, még olyanokban is, ahol csak a modul más részeit használták. ...

Miért van szükséged CI/CD pipeline-ra? Ha a telepítési folyamatod úgy néz ki, hogy valaki SSH-zik a szerverre és kézzel futtatja a parancsokat — akkor minden telepítés egy kockázat. Elfelejtett lépések, eltérő konfigurációk, emberi hibák. A CI/CD (Continuous Integration / Continuous Delivery) pipeline automatizálja ezt a teljes folyamatot: a kód megírásától az éles rendszerre kerülésig. Így: Minden telepítés azonos és megismételhető A hibák korábban kiderülnek (automatizált tesztek) Bárki telepíthet, nem csak a senior mérnök Van rollback — ha valami elromlik, egy kattintás visszaállni A CI/CD pipeline rétegei Egy jól megtervezett pipeline-nak öt rétege van: ...