GitHub强化开源供应链安全：应对新型攻击与防御策略

近期开源供应链攻击呈现新趋势，攻击者通过窃取API密钥等敏感信息，利用GitHub Actions工作流实现恶意软件包发布并扩散攻击。为应对这一威胁，GitHub提出四项核心防护措施：1) 通过CodeQL工具免费检测公共仓库的安全性；2) 禁用高风险工作流触发事件（如pull_request_target）；3) 采用完整SHA哈希固定第三方Actions配置；4) 强化用户提交内容的脚本注入防护。同时，GitHub已与OpenSSF等机构合作，在npm、PyPI等主流包仓库部署'可信发布'机制，通过OpenID Connect令牌替代敏感凭证，实现发布源验证与恶意包实时预警。针对2025年底Shai-Hulud攻击事件暴露的问题，GitHub正加速推进npm可信发布功能，优化恶意软件检测算法，并与开源维护者协作制定高效安全方案。