谷歌的Project Zero团队致力于寻找公司自身软件以及其他公司开发的软件中的安全漏洞。其方法是私下向供应商报告缺陷，并在公开披露前给他们90天的时间来修复。根据情况的严重程度，这一期限可能会根据该集团的标准准则被延长或拉近。
11月初，谷歌公开披露了GitHub中的一个 "高"严重性安全问题，此前后者无法在104天内修复--超过了标准时限。不过，GitHub用户现在会很高兴地知道，这个安全漏洞终于被填补了。
该安全漏洞源自GitHub Actions中的工作流命令，它作为执行动作和Action Runner之间的通信渠道极易受到注入攻击。谷歌Project Zero的Felix Wilhelm最初报告了这个安全漏洞，他表示工作流命令的实现方式 "从根本上来说是不安全的"。短期的解决方案是废止命令语法，而长期的修复方法是将工作流命令转移到一些外链通道，但这也很棘手，因为这会破坏依赖性代码。在GitHub未能在规定的104天内修复该问题后，谷歌于11月2日公开披露了该问题。

文章插图
显然，这给该公司带来了一定的压力，目前该漏洞已经被修复。补丁说明显示，该修复方法与Wilhelm提出的短期解决方案一致。
停用add-path和set-env runner命令(#779)
更新了dotnet安装脚本(#779)
【 GitHub|GitHub终于修复了Google Project Zero 报告的高危安全漏洞】几天前，GitHub已经修复了这个问题，但现在已经被谷歌Project Zero团队验证，并在问题库中标记。这样一来，安全团队报告的公开问题清单就减少到了9个。其中包括微软、高通和苹果等众多厂商开发的软件。唯一存在于谷歌自家软件中的开放问题与Android上的指针泄露有关，但这一 "中等"严重性缺陷的状态自2016年9月以来一直处于开放状态。

• sd|sd卡修复工具有哪些？两个办法就可以搞定了
• 感人|vivo终于爆发！骁龙865+55W快充，价格很感人
• 大神|研究完各路大神，终于知道互联网创业的你为何不赚钱
• 要来|折叠屏iPhone终于要来了！可惜发布的时间有点晚，你愿意等吗？
• 测试阶段|折叠 iPhone 终于要来了，已经进入测试阶段～
• 折叠屏手机|苹果要放“大招”，iPhone又要出新型号，果粉：终于等来了
• 周杰伦|不能重复！QQ终于可以设置ID了：“周杰伦”已被抢注
• 要来|高通骁龙技术峰会今晚11点开始 骁龙875终于要来了？
• iQOO3|vivo打疯了！骁龙865旗舰全速降至新低价，网友：终于等到了
• 等到|苹果全力反击，iPhone11沦为“退场价”，网友：终于等到了！