$ loading_
审计 GitHub Actions 工作流安全配置,识别权限、密钥与注入等风险。
该工具用途明确,为审计 GitHub Actions 工作流安全;材料显示其来自官方 Registry、开源且近期维护,整体未见明显高危红旗。需注意其会连接声明的远程 Apify 端点且具备代码执行能力,因此整体更适合视为低到中等关注级别。
材料注明“不需要密钥/环境变量”,未见要求用户提供 API token、GitHub 凭证或其他敏感凭证,因此凭证收集与泄露面较小。
工具会访问声明的远程端点 unbearable-dev--github-actions-audit.apify.actor,说明分析内容可能被发送到 Apify 承载的服务端处理;这是其远程 MCP 形态的常规特征,但应默认视为存在数据外发并确认上传内容范围。
系统检查项标记为 executes-code,表明该工具具备代码执行或启动进程能力;对 MCP 工具而言这属于常规能力,材料中未见超出“审计 GitHub Actions 工作流”声明用途的系统权限申请。
按其功能描述,工具需要接触 GitHub Actions 工作流内容以执行 21 项安全检查,可能读取用户提供的 YAML/仓库相关配置;现有材料未显示其要求访问与该用途明显无关的本地数据或广泛资源,但实际输入边界仍应最小化。
正面证据包括:官方 Registry 来源、开源仓库可审计、近一年内有更新;这些都显著降低供应链风险。需留意的是社区采用度目前较低(0 star)且许可证未声明,因此仍建议在接入前自行复核源码与依赖。
复制安装指令,让 AI 自动完成配置 · 推荐新手
请帮我安装 askskill 上的 "GitHub Actions Audit" MCP 服务: 执行:claude mcp add --transport http io-github-unbearabledev-github-actions-audit https://unbearable-dev--github-actions-audit.apify.actor/mcp
请审计这个 GitHub 仓库中的 Actions 工作流安全性,重点检查 21 项常见问题,包括 action 版本是否固定、GITHUB_TOKEN 权限是否过大、secrets 使用是否安全,以及是否存在命令注入风险。请按严重程度输出问题清单和修复建议。
一份按严重程度排序的安全审计报告,列出发现的问题、受影响文件及修复建议。
请比较这个 PR 中修改前后的 GitHub Actions workflow,找出新引入的安全风险,特别关注权限提升、未固定第三方 action、从不可信输入拼接 shell 命令等问题,并说明风险原因。
针对 PR 变更的风险审查结果,指出新增问题、影响范围和建议修改方式。
基于当前 GitHub Actions 工作流配置,给出一份安全加固清单,覆盖最小权限、固定 action 版本、密钥管理、runner 使用和输入校验,并给出可操作的 YAML 修改建议。
一份可执行的安全加固清单,包含具体配置建议和示例修改方向。
扫描代码与文本中的泄露密钥和 API 凭证,快速发现安全风险。