| GitHub Actions | Node20 | EOL | CI/CD
GitHub Actions將於2026年3月預設改用Node24,Node20逐步棄用
GitHub將於2026年3月起讓GitHub Actions預設改用Node24,Node20則進入棄用並於同年夏季移除,開發者需提前更新工作流程並完成測試,避免CI/CD環境受到影響
2025-09-22
| 供應鏈攻擊 | GitHub Actions | GhostAction
PyPI參與供應鏈攻擊GhostAction事件回應,註銷遭濫用的憑證
本月上旬駭客鎖定GitHub儲存庫從事大規模供應鏈攻擊GhostAction,PyPI軟體基金會透露參與事件回應的過程,並註銷外流憑證,確認無用戶及專案被滲透
2025-09-19
| 軟體套件蠕蟲 | 供應鏈攻擊 | npm | Shai-Hulud | CrowdStrike | Nx | GitHub Actions
供應鏈攻擊兩天內急速擴散!逾500個NPM套件被植入具大量散播能力的蠕蟲
NPM套件供應鏈攻擊就連資安業者也無法倖免!資安業者Socket揭露大規模供應鏈攻擊Shai-Hulud,其中最引起關注的地方,在於資安業者CrowdStrike的帳號遭駭,導致該公司開發的套件受到影響
2025-09-18
| Nx | npm | 供應鏈攻擊 | GitHub Actions | Nx Console
知名開源建置工具Nx遭植入惡意程式上架NPM,開發者憑證恐外洩
開源建置工具Nx惡意版本遭發布NPM,安裝即竊取憑證並上傳至GitHub儲存庫,還改寫終端機啟動檔,官方已下架並建議用戶檢查與清理環境
2025-08-28
| google | GitHub Actions | Gemini CLI | 程式碼審查 | AI開發工具 | AI-Assisted IDE
Gemini CLI GitHub Actions上線,AI助自動化程式開發與團隊協作
Google發布一項GitHub Action,整合Gemini CLI至團隊開發流程,自動處理議題分流與程式碼審查,支援安全驗證與可觀測性,現為Beta並提供免費額度
2025-08-08
| Claude Code | 自動安全審查 | AI | GitHub Actions
Claude Code支援GitHub,AI自動安全審查即時提供漏洞修正建議
Anthropic推出Claude Code自動安全審查功能,支援GitHub Actions,在拉取請求階段利用人工智慧分析程式碼變更,偵測安全風險並提供修正建議,提升開發流程安全性
2025-08-07
| GitHub Actions | Typosquatting
GitHub Actions可被用於冒充網域名稱攻擊,開發人員若未仔細檢查,恐散布惡意程式碼
研究人員針對開發人員提出警告,攻擊者也能對於在工作流程自動化平臺GitHub Actions犯錯的用戶下手,使用冒充網域名稱手法來散布惡意程式碼
2024-09-09
| GitHub | GitHub Actions | GHES
GitHub強化自動化工具Actions發布最新Enterprise Server 3.7
GHES 3.7用戶現在可以在GitHub Actions使用Google雲端儲存,存放日誌、構件和快取,並且建立巢狀可重用工作流程,制定創新工作流程
2022-11-13
| AWS | CodeGuru | Java | GitHub Actions
Amazon CodeGuru現在可由GitHub Actions觸發程式碼分析作業
用戶能夠將Amazon CodeGuru整合到CI/CD工作管線中,在建置過程中由GitHub Actions觸發程式碼安全性分析
2021-06-28
| GitHub Actions | 挖礦程式 | GitHub伺服器
駭客濫用GitHub Actions功能以於GitHub伺服器上挖礦
在駭客提出Pull Request請求之後,GitHub系統就會建立一個虛擬機器以讀取惡意分支的程式碼,接著就會在GitHub的架構上下載挖礦程式,利用GitHub伺服器來替駭客挖礦
2021-04-05
| 漏洞 | GitHub Actions | Google Project Zero | CVE-2020-15288
拒絕展延修補寬限期,Google準時公布GitHub高風險漏洞
與GitHub官方對存在於Actions服務的漏洞修補方式無法達成共識,Project Zero成員決定不再給GitHub修補寬限期,自行揭露CVE-2020-15228漏洞細節
2020-11-06