論文の概要: Granite: Granular Runtime Enforcement for GitHub Actions Permissions

• arxiv url: http://arxiv.org/abs/2512.11602v1
• Date: Fri, 12 Dec 2025 14:38:45 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-12-15 15:48:11.802927
• Title: Granite: Granular Runtime Enforcement for GitHub Actions Permissions
• Title（参考訳）: Granite: GitHub Actions Permissions用のGranular Runtime Enforcement
• Authors: Mojtaba Moazen, Amir. M Ahmadian, Musard Balliu,
• Abstract要約: Graniteは、ジョブ内のステップレベルの粒度で、GitHub Actionsの詳細な権限を強制するプロキシベースのシステムです。 我々の分析では、52.7%の雇用がグラナイトによって許可の誤用から保護されていることが判明した。
• 参考スコア（独自算出の注目度）: 2.278720757613755
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Modern software projects use automated CI/CD pipelines to streamline their development, build, and deployment processes. GitHub Actions is a popular CI/CD platform that enables project maintainers to create custom workflows -- collections of jobs composed of sequential steps -- using reusable components known as actions. Wary of the security risks introduced by fully-privileged actions, GitHub provides a job-level permission model for controlling workflow access to repository resources. Unfortunately, this model is too coarse-grained to reduce the attack surface pertaining to permission misuse attacks: All actions within a job share the same permissions granted to the job. This violates the principle of least privilege and can lead to broader software supply chain attacks, whenever a compromised action exploits the granted permissions to compromise the repository resources. In this paper, we present Granite, a runtime proxy-based system that enforces fine-grained permissions for GitHub Actions at the step-level granularity within a job. Granite transparently monitors requests made by JavaScript and composite actions during workflow execution and checks them against predefined step-level policies at runtime. We evaluate Granite in terms of compatibility, security, and performance overhead using a dataset of 500 workflows comprising 12,916 jobs from the most-starred GitHub repositories that use GitHub Actions. Our analysis reveals that 52.7% of the jobs can be protected by Granite against permission misuse attacks. We evaluate Granite on 20 top-starred repositories (63 actions, 58 workflows), validate attack prevention using 10 permission misuse attacks across 42 overprivileged jobs, and measure an average overhead of 55% (3.67 seconds) per job, concluding that Granite effectively reduces CI/CD attack surfaces.
• Abstract（参考訳）: 現代のソフトウェアプロジェクトは、CI/CDパイプラインを自動化して、開発、ビルド、デプロイメントプロセスを合理化しています。 GitHub Actionsは、プロジェクトメンテナがアクションとして知られる再利用可能なコンポーネントを使用してカスタムワークフロー -- シーケンシャルステップで構成されたジョブのコレクション -- を作成することができる、人気のあるCI/CDプラットフォームである。 完全に特権化されたアクションによってもたらされるセキュリティリスクに対して、GitHubは、リポジトリリソースへのワークフローアクセスを制御するためのジョブレベルのパーミッションモデルを提供している。 残念なことに、このモデルでは、不正使用の許可に関連する攻撃面を減らすには、大きすぎる粒度である: ジョブ内のすべてのアクションは、ジョブに与えられた権限を共有する。 これは最小特権の原則に違反しており、妥協されたアクションがリポジトリリソースを侵害する権限を悪用する場合に、より広範なソフトウェアサプライチェーン攻撃につながる可能性がある。 本稿では、ジョブ内のステップレベルの粒度において、GitHub Actionsのきめ細かいパーミッションを強制する、ランタイムプロキシベースのシステムであるGraniteを紹介する。 Graniteは、ワークフロー実行中にJavaScriptと複合アクションによってなされたリクエストを透過的に監視し、実行時に事前に定義されたステップレベルのポリシに対してチェックする。 私たちは、GitHub Actionsを使用するGitHubリポジトリから12,916のジョブからなる500のワークフローのデータセットを使用して、互換性、セキュリティ、パフォーマンスのオーバーヘッドの観点から、Graniteを評価しました。 我々の分析では、52.7%の雇用がグラナイトによって許可の誤用から保護されていることが判明した。 上位20のレポジトリ(63のアクション、58のワークフロー)上でGraniteを評価し、42の不正なジョブにわたる10のパーミッション誤用攻撃によるアタック防止を検証するとともに、ジョブ毎の平均オーバーヘッドを55%(3.67秒)測定することで、GraniteがCI/CDアタックサーフェスを効果的に削減する、と結論付けた。

関連論文リスト

• Trace: Securing Smart Contract Repository Against Access Control Vulnerability [58.02691083789239]
  GitHubはソースコード、ドキュメント、設定ファイルを含む多数のスマートコントラクトリポジトリをホストしている。 サードパーティの開発者は、カスタム開発中にこれらのリポジトリからコードを参照、再利用、フォークすることが多い。 スマートコントラクトの脆弱性を検出する既存のツールは、複雑なリポジトリを扱う能力に制限されている。
  論文  参考訳（メタデータ） (2025-10-22T05:18:28Z)
• Bag of Tricks for Subverting Reasoning-based Safety Guardrails [62.139297207938036]
  推論に基づくガードレールを覆い隠すジェイルブレイク手法の袋を提示する。 攻撃対象は白、グレー、ブラックボックスの設定で、無駄なテンプレート操作から完全に自動化された最適化までさまざまです。
  論文  参考訳（メタデータ） (2025-10-13T16:16:44Z)
• SwingArena: Competitive Programming Arena for Long-context GitHub Issue Solving [90.32201622392137]
  We present SwingArena, a competitive evaluation framework for Large Language Models (LLMs)。 従来の静的ベンチマークとは異なり、SwingArenaはLLMをイテレーションとして組み合わせて、テストケースを作成し、継続的インテグレーション(CI)パイプラインを通じてパッチを検証するパッチとレビュアーを生成することで、ソフトウェアのコラボレーションプロセスをモデル化する。
  論文  参考訳（メタデータ） (2025-05-29T18:28:02Z)
• ARGO-SLSA: Software Supply Chain Security in Argo Workflows [0.0]
  Argonativesは、自動化された方法でソフトウェアアーチファクトを管理するためのエンジンである。 ソフトウェアアーティファクトのためのサプライチェーンレベル(SLSA)のようなフレームワークの組み込み機能は含まない。 本稿では,アーティファクトセキュリティを高めるためにArgos上に構築されたプロファイランスコントローラを提案する。
  論文  参考訳（メタデータ） (2025-03-25T21:32:23Z)
• MutaGReP: Execution-Free Repository-Grounded Plan Search for Code-Use [92.28400093066212]
  MutaGRePは、ユーザリクエストを、大規模なコードリポジトリにある自然言語ステップに分解する計画を探すためのアプローチである。 我々の計画では、GPT-4oの128Kコンテキストウィンドウの5%以下しか使用していませんが、GPT-4oのコーディング性能とレポジトリで満たされたコンテキストウィンドウに匹敵します。
  論文  参考訳（メタデータ） (2025-02-21T18:58:17Z)
• Automatic Categorization of GitHub Actions with Transformers and Few-shot Learning [12.254055731378045]
  GitHub Actions(GHA)は、開発者がパイプラインを作成してメンテナンスするための実用的なツールを提供するために考案されたものだ。 検索エンジンにアクションを公開するために、GitHubは開発者がそれらを1つ以上のカテゴリに手動で割り当てることを可能にする。 私たちはGitHubでアクションの可視性を高めるための実用的なソリューションであるGavelを提案する。
  論文  参考訳（メタデータ） (2024-07-24T02:27:36Z)
• On the effectiveness of Large Language Models for GitHub Workflows [9.82254417875841]
  大規模言語モデル(LLM)は、様々なソフトウェア開発タスクにおいてその効果を実証している。 異なるレベルのプロンプトを持つ5つのワークフロー関連タスクにおけるLLMの有効性を理解するための、最初の総合的研究を行う。 現状のLLMと細調整した3種類のLLMの評価結果から,LLMの現在の有効性と欠点について,様々な興味深い知見が得られた。
  論文  参考訳（メタデータ） (2024-03-19T05:14:12Z)
• Enhancing Open-Domain Task-Solving Capability of LLMs via Autonomous Tool Integration from GitHub [79.31134731122462]
  オープンドメインのタスク解決能力を評価するためにOpenActベンチマークを導入します。 我々は,オープンドメインの進化するクエリに,GitHubから専門ツールを自律的に統合することで対処できる,新しいLLMベースのエージェントシステムであるOpenAgentを紹介する。
  論文  参考訳（メタデータ） (2023-12-28T15:47:30Z)
• An Empirical Study on Workflows and Security Policies in Popular GitHub Repositories [9.048328480295224]
  オープンソースプロジェクトでは、誰でもコントリビュートできるので、アクティブな継続的インテグレーションと継続的デリバリ(CI/CD)パイプラインを持つことが重要です。 これらのプロジェクトの多くはGitHubにホストされており、メンテナが自動セキュリティポリシを作成することができる。 私たちはスター数に基づいてGitHubとセキュリティポリシーを何千もの人気のあるリポジトリで測定します。
  論文  参考訳（メタデータ） (2023-05-25T14:52:23Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。