O GitHub implementou uma melhoria significativa de segurança em suas ações, atualizando o actions/checkout para bloquear fluxos de trabalho inseguros que abusam do evento pull_request_target. Este evento é amplamente conhecido como um dos mais mal utilizados, pois executa com o GITHUB_TOKEN do repositório base, segredos e acesso ao cache da branch padrão, mesmo quando o pull request vem de um fork não confiável.
O que mudou agora
A atualização torna o actions/checkout v7 geralmente disponível com comportamento seguro por padrão, projetado para interromper os padrões mais comuns de ataques conhecidos como "pwn request". Esses ataques têm impulsionado múltiplos comprometimentos de cadeia de suprimentos em todo o ecossistema de desenvolvimento de software.
Impacto e alcance
Em 16 de julho de 2026, o GitHub fará o backport dessa lógica de aplicação para todas as versões principais atualmente suportadas. Isso significa que fluxos de trabalho fixados em tags flutuantes como actions/checkout@v4 herdarão automaticamente as definições mais seguras sem nenhuma alteração manual. No entanto, pipelines que fixam actions/checkout em uma versão específica de SHA, menor ou patch não serão atualizados automaticamente e devem ser atualizados via Dependabot ou processos internos estabelecidos para se beneficiarem das novas proteções.
Vetor e exploração
A mudança chave é que o actions/checkout v7 agora se recusa a buscar código de pull request de fork em fluxos de trabalho pull_request_target e em trabalhos workflow_run onde workflow_run.event é um evento pull_request*, sempre que a configuração claramente visa um PR de fork. A ação falha se a entrada repository resolver para o repositório do fork, se ref corresponder a refs/pull/<number>/head ou refs/pull/<number>/merge, ou se ref resolver para o SHA de cabeça ou merge do PR do fork.
Medidas de mitigação recomendadas
Equipes focadas em segurança devem executar forks não confiáveis sob pull_request com permissões restritas e reservar pull_request_target e quaisquer verificações inseguras apenas para pipelines cuidadosamente auditados que realmente necessitem de acesso a segredos e recursos sensíveis. Para casos de uso legítimos onde o código de fork PR deve ser executado com confiança elevada, por exemplo, geração de cobertura usando registros de artefatos privados ou verificações autenticadas em alterações recebidas, o GitHub oferece um caminho explícito de opt-out.
Perguntas frequentes
Isso afeta todos os repositórios? Sim, a proteção é aplicada globalmente aos fluxos de trabalho que utilizam o evento pull_request_target com verificações de fork.
Como reabilitar a verificação de fork? Mantenedores podem adicionar a entrada allow-unsafe-pr-checkout ao passo actions/checkout para reabilitar verificações de fork PR nesses fluxos de trabalho, mas isso deve ser feito com extrema cautela e revisão de código.