Последние новости: GitHub Code Security

actions/checkout@v7 теперь по умолчанию блокирует популярный путь для атак на цепочки поставки: запуск кода из чужого pull request в привилегированном workflow. Старые мажорные версии получат защиту 16 июля 2026 года.

Microsoft предупредила о риске утечки CI/CD-секретов через Claude Code GitHub Action. Один комментарий в GitHub мог заставить Claude Code прочитать секреты сборочного конвейера

Один день, 5718 коммитов. GitHub Actions превратили в стилер: Megalodon украл секреты CI/CD у тысяч проектов. Supply chain-атака Megalodon ударила по токенам, SSH-ключам и облачным доступам. Фейковые build-bot и ci-bot залили малварь в тысячи репозиториев.

Экосистема npm пережила заметный сдвиг: вредоносные пакеты перестали быть мелким шумом вокруг опечаток в названиях библиотек. Атаки всё чаще бьют по реальным пакетам, учётным записям сопровождающих, сборочным конвейерам и токенам публикации. Главная цель — не компьютер отдельного разработчика, а вся …

Уязвимость CVE-2026-3854 позволяла выполнять код на серверах GitHub через git push. Под угрозой были миллионы публичных и приватных репозиториев.

Исследователь показал, как GitHub-комментарии, issue и заголовки PR можно использовать для prompt injection против Claude Code, Gemini CLI Action и GitHub Copilot Agent. Атака позволяет вытаскивать токены и API-ключи из окружения.

GitHub расширяет GitHub Code Security за счет ИИ-детекторов уязвимостей. Разбираем, как новая схема будет работать вместе с CodeQL, какие языки и экосистемы затронуты и что известно о сроках запуска.