11月初，谷歌公開披露了GitHub中的一個 "高"嚴(yán)重性安全問題，此前后者無法在104天內(nèi)修復(fù)--超過了標(biāo)準(zhǔn)時限。不過，GitHub用戶現(xiàn)在會很高興地知道，這個安全漏洞終于被填補了。

該安全漏洞源自GitHub Actions中的工作流命令，它作為執(zhí)行動作和Action Runner之間的通信渠道極易受到注入攻擊。谷歌Project Zero的Felix Wilhelm最初報告了這個安全漏洞，他表示工作流命令的實現(xiàn)方式 "從根本上來說是不安全的"。短期的解決方案是廢止命令語法，而長期的修復(fù)方法是將工作流命令轉(zhuǎn)移到一些外鏈通道，但這也很棘手，因為這會破壞依賴性代碼。在GitHub未能在規(guī)定的104天內(nèi)修復(fù)該問題后，谷歌于11月2日公開披露了該問題。

顯然，這給該公司帶來了一定的壓力，目前該漏洞已經(jīng)被修復(fù)。補丁說明顯示，該修復(fù)方法與Wilhelm提出的短期解決方案一致。

停用add-path和set-env runner命令(#779)

更新了dotnet安裝腳本(#779)

幾天前，GitHub已經(jīng)修復(fù)了這個問題，但現(xiàn)在已經(jīng)被谷歌Project Zero團隊驗證，并在問題庫中標(biāo)記。這樣一來，安全團隊報告的公開問題清單就減少到了9個。其中包括微軟、高通和蘋果等眾多廠商開發(fā)的軟件。唯一存在于谷歌自家軟件中的開放問題與Android上的指針泄露有關(guān)，但這一 "中等"嚴(yán)重性缺陷的狀態(tài)自2016年9月以來一直處于開放狀態(tài)。