A webhelye leállás nélkül is kompromittálódhat
A Cloudflare mostantól naponta 3,5 milliárd szkriptet vizsgál át AI-alapú észleléssel. Ha az Ön webhelye harmadik féltől származó JavaScriptet futtat, ez fontos Önnek.
SolarWinds 2020-ban. Codecov 2021-ben. event-stream 2018-ban. Három ellátásilánc-támadás, amely hat évnyi CI/CD-biztonsági gondolkodást formált, és mindegyik a build folyamatban indult. 2026. március 26-án a GitHub kiadott egy biztonsági ütemtervet az Actions számára, amely pontosan erre a résre céloz. Négy funkció, az első public preview-k három-hat hónapon belül, a GA hat-kilenc hónapon belül.
A legtöbb csapat, amellyel dolgozunk, tűzfallal védi a produkciós adatbázisát, a CI runnerét viszont tárva-nyitva hagyja az internet felé. Pontosan ebben a résben mozognak a támadók.
Ez az, ami a legfontosabb. Kezdje itt.
Ma, amikor az npm install lefut a pipeline-jában, az a folyamat a bolygó bármelyik szerverét elérheti. Egy kompromittált csomag hazatelefonál, kiszivárogtatja a CI secretjeit egy külső végpontra, Ön pedig napokkal később szerez róla tudomást a logokból. Talán. Vagy soha nem is szerez róla tudomást.
A GitHub bevezet egy Layer 7 tűzfalat, amely a runner VM-en kívül fut. Ön megad egy whitelistet az engedélyezett domainekről (registry.npmjs.org, github.com, a saját privát registryje), minden más pedig blokkolódik. Semmi DNS-feloldás, semmi TCP-kapcsolat, semmi.
Épp ez az elhelyezés a lényeg. Az a támadó, aki root jogot szerez a runneren, akkor sem tudja megkerülni a tűzfalat, mert a szabályok egy olyan rétegen futnak, ahová soha nem jut el. A VM-en belül a root lezárta volna a vitát.
Amit be lehet állítani:
Ha már rendesen foglalkozik a kliensoldali biztonsággal, ez az a fél, amely eddig hiányzott. A CSP-fejlécek és az SRI-hashek azt védik, ami a böngészőben történik. Az egress tűzfal azt védi, ami a buildben történik. Bármelyiket hagyja ki, a lyuk ott marad.
Egy tipikus ellátásilánc-támadás mindig ugyanazt a formát követi. A kompromittált függőség hazatelefonál, kiszivárogtat tokeneket, vagy kártékony kódot injektál a kimeneti bundle-be. Az egress tűzfal ezt hálózati szinten öli meg. Nem naplózással, nem riasztással. A kapcsolat egyszerűen nem jön létre.
A runner VM-ek jelenleg korlátlan internet-hozzáféréssel rendelkeznek. Ez olyan, mintha egy adatbázist tűzfal nélkül üzemeltetne, és a legjobbat remélné.
Az egress tűzfal public preview-ja Q4 2026 és Q1 2027 fordulóján érkezik, a GA valamikor Q1 vagy Q2 2027-ben.
Erre már régóta várunk. Úgy működik, mint a go.mod vagy a package-lock.json. A YAML-ban minden action SHA hasht kap tag helyett.
Ma:
uses: actions/checkout@v4
A v4 tag csak egy mutató. Bármikor átcsúszhat egy másik commitra. Egyetlen force push a tagre, és a következő build teljesen más kódot húz le. Figyelmeztetés nélkül.
Lockinggal:
uses: actions/checkout@b4ffde65f46336ab88eb53be808477a3936bae11
A SHA módosításához mostantól explicit frissítés kell, és egy nem zárolt referenciát tartalmazó workflow el sem indul, mert a validáció magában a pipeline-ban fut. A Dependabot sosem jutott el idáig. Frissíteni tudja a SHA-referenciákat, rákényszeríteni bárkire a használatukat viszont nem. Egy fejlesztő hozzáad egy új actiont taggel, a Dependabot hallgat, senki sem veszi észre.
Néhány csapat kézzel pineli a SHA-kat. Rendben. De ezt kézzel karbantartani plusz munka, és a legtöbb csapat egy idő után feladja (hányan tudják a csapatában, hogy az actions/setup-node@v4 milyen SHA-ra oldódik fel?). A natív platformtámogatás ezt ugyanúgy megoldja, ahogy a package-lock.json megoldotta az npm-függőségeket.
Public preview Q3 vagy Q4 2026 során, GA Q4 2026 és Q1 2027 között.
Egy központosított ruleset keretrendszer szervezeti szinten. Az adminok határozzák meg, ki indíthat workflow-kat, mely eventek engedélyezettek, mely actionök jóváhagyottak, mely runner labelek kötelezők. Egyetlen hely 40 repositoryba küldött 40 pull request helyett.
Ma ezt a branch protection szabályok, CODEOWNERS-fájlok, kötelező status checkek és kerülőmegoldások foltvarrása kezeli. Az eredmény töredezett és fájdalmas auditálni. A szabályozott iparágak (bankszektor, egészségügy, közszféra) számára az új keretrendszer lefedi azokat az audit trail követelményeket, amelyekről Szlovákia 2026 és 2030 közötti kiberbiztonsági stratégiája kapcsán írtunk.
Vegyünk egy bankot. Produkciós deploymentet ott csak a release-engineering csapat tagja indíthat, kizárólag a main branchen keresztül, kizárólag jóváhagyott PR-rel. Az új keretrendszerrel ez egyetlen policy egyetlen helyen. A public preview a dependency lockinggal együtt érkezik Q3 vagy Q4 2026-ban.
Actions Data Stream, közel valós idejű telemetria S3-ba vagy Azure Event Hubba. A GitHub jövőbeli, folyamat szintű láthatóságot is jelez. Nem csak azt, hogy „az X lépés 45 másodpercig tartott“, hanem azt, hogy „az X lépés elindította az A, B, C folyamatokat, és hálózati kapcsolatokat nyitott ezekre a címekre“.
Ha egy lépés, amely általában 30 másodpercig tart, hirtelen 5 percig fut, valami megváltozott. Az S3-ba/Azure Event Hubba streamelés azt jelenti, hogy egyedi scriptek nélkül csatlakozhat a meglévő SIEM-jéhez (Splunk, Elastic, Datadog). Hasznos a compliance auditokhoz és az incidensek utáni forenzikai vizsgálathoz. A public preview Q4 2026-ra és Q1 2027-re esik, a GA az egress tűzfallal együtt Q1 vagy Q2 2027-ben.
Pinelje a SHA-it a pinact vagy a pin-github-action segítségével, ez fél nap munka, és drasztikusan csökkenti az ellátási lánc kockázatát. Ellenőrizze a workflow-tokenek jogosultságait, mert a legtöbb workflow-nak nincs szüksége write jogra a contents vagy a packages felett, úgyhogy állítsa az alapértelmezettet read-re. Dobja ki az ismeretlen szerzőktől származó, 50 csillagos third-party actionöket. Kevesebb függőség, kisebb támadási felület. És derítse ki, hány secret van a szervezetében, és mikor forgatták őket utoljára.
Két használható kiindulópont a GitHub security hardening guide és az OWASP CI/CD Security Top 10.
Legutóbb, amikor egy ügyfél pipeline-ját auditáltuk, 14 függőséget találtunk SHA pinning nélkül. Fél nap kijavítani. Az audit nélkül máig nem tudnának róla. Ha szeretné megtudni, hol tartanak az Ön pipeline-jai, lépjen kapcsolatba velünk.
A Rise.sk alapítója és műszaki vezetője. Webalkalmazásokat, adatrendszereket és automatizálást tervez és szállít; szoftverdöntésekről, AI-ról és digitális szolgáltatásokról ír.
A Cloudflare mostantól naponta 3,5 milliárd szkriptet vizsgál át AI-alapú észleléssel. Ha az Ön webhelye harmadik féltől származó JavaScriptet futtat, ez fontos Önnek.
Az MCP eszközökhöz és adatokhoz kapcsolja az ügynököt. Az A2A önálló ügynököket köt össze. Itt megtudhatja, melyik protokoll hova illik, és mely biztonsági kontrollok maradnak az Ön felelőssége.
Container queries minden böngészőben, CSS scroll animációk, grid-lanes a masonryhez és Iterator.concat(). Gyakorlati összefoglaló a 2026 márciusi web platform újdonságokról.
Az Ön helyzete határozza meg a választ