GitHub：请再给我2天修复漏洞 谷歌：已经给你104天了

谷歌 Project Zero 研究人员在GitHub中发现了一个高危安全漏洞，并在7月21日提交了GitHub，按照谷歌Project Zero 90天的漏洞公开计划公开漏洞的时间为10月18日。

漏洞概述

漏洞位于GitHub的开发者工作流自动化工具Actions 特征中。根据GitHub 文档，在 GitHub Actions 的仓库中自动化、自定义和执行软件开发工作流程，可以发现、创建和共享操作以执行您喜欢的任何作业（包括 CI/CD），并将操作合并到完全自定义的工作流程中。

Github Actions 支持一个名为workflow commands的特征，这是Action runner和执行action的通信信道。Workflow commands 在runner/src/Runner.Worker/ActionCommandManager.cs 中实现，通过分析所有寻找2个命令maker的执行的action的STDOUT来工作。
该特征的一大问题是极易受到注入攻击的威胁。Runner进程在分析寻找workflow command的打印到STDOUT的每行时，每个打印不可信内容的GitHub action都易受到攻击。在大多数情况下，如果能够设置任意的环境变量，当另一个workflow执行时就会引发远程代码执行。

时间轴

10月1日，GitHub 发布公告承认了该漏洞，并分配了CVE编号CVE-2020-15228，但称该漏洞实际上中危漏洞。

10月12日，谷歌 Project Zero 研究人员联系了GitHub，并主动提出将漏洞公开的时间延长14天，并询问是否需要需要更多的时间来禁用有漏洞的命令。

GitHub 接受了将漏洞公开的时间延迟14天，并预计于10月19日之后禁用有漏洞的命令。因此，谷歌 Project Zero将漏洞公开时间定于11月2日。

10月28日，由于GitHub没有修复漏洞，谷歌 Project Zero 再次联系GitHub称距离漏洞公开的时间不足一周，但是未得到GitHub 回应。由于未收到GitHub 官方回应，Project Zero 联系了非官方人员得到回应称该漏洞将被修复，Project Zero可以按照计划的11月2日公开漏洞。

11月1日，GitHub给出官方回应，但称无法在11月2日禁用有漏洞的命令，并请求额外的2天时间来通知用户该漏洞的相关信息，但这2天并不是修复漏洞的时间，也没有给出明确的漏洞修复时间。

因此，11月2日，Project Zero 按照计划公开了该漏洞。