GitHub ปรับบริการ GitHub Actions ให้เจ้าของโครงการต้องยืนยันรัน workflow ทุกครั้งเมื่อมี pull request จากภายนอก หลังจากก่อนหน้านี้มีคนร้ายสร้าง pull request รันโค้ดขุดเงินคริปโตจนกระทั่งนักพัฒนาเจ้าของโครงการถูกแบน

แนวทางใหม่นี้ผู้ดูแลโครงการจะต้องยืนยันรัน workflow เองทุกครั้งที่มี pull request เข้ามาใหม่ โดยผู้ดูแลโครงการที่มีสิทธิ์ write access เท่านั้น และหากมีการแก้ไขโค้ดเข้ามาใหม่ก็ต้องยืนยันใหม่อีกครั้ง

นอกจากแนวทางการยืนยันก่อนรัน workflow แล้ว ทาง GitHub ยังแก้เงื่อนไขบริการ เน้นแบนบัญชีผู้ส่ง pull request ขุดเงินคริปโตแทนที่จะไปแบนเจ้าของโครงการที่เป็นเหยื่อจากการส่ง pull request เหล่านี้

แนวทางนี้ทำให้ผู้ดูแลโครงการโอเพนซอร์สจะมีงานมากขึ้นเพราะไม่สามารถปล่อยให้ workflow รันอัตโนมัติก่อนเข้าตรวจสอบ pull request ได้อีกต่อไป แต่ทาง GitHub ก็ระบุว่าได้พูดคุยกับนักพัฒนาแล้วว่าแนวทางนี้เป็นแนวทางที่สมดุล แต่หลังจากนี้จะเพิ่มการตั้งค่าให้เจ้าของโครงการปรับแต่งได้มากขึ้น

ที่มา - GitHub