GitHub 在 2026 年 Actions 安全路线图里把重点放在 CI/CD 供应链。问题不再只是依赖包有没有漏洞,自动化流程本身也可能变成攻击面。
开发者要看什么
- 工作流权限是否过大。
- 第三方 Action 是否固定版本和来源。
- 令牌、密钥、云权限是否有最小权限边界。
- 出问题后能不能追踪哪个 workflow、哪个 runner、哪个凭据被用过。
本站建议
个人项目也别把 CI 当黑盒。能用 allowlist 就用 allowlist,能用 OIDC 短期凭据就少放长期密钥,能固定 Action 版本就别追浮动标签。
来源:GitHub 官方博客 https://github.blog/news-insights/product-news/whats-coming-to-our-github-actions-2026-security-roadmap/