Sysdig脅威リサーチチーム（TRT）は、GitHub Actionsにおけるセキュリティリスクを調査し、複数の有名オープンソースプロジェクトでpull\_request\_targetの誤用による深刻な脆弱性を発見しました。
これにより、外部からのプルリクエスト経由で高権限のトークンやシークレットが漏洩する可能性があることが明らかになりました。
TRTは、ベストプラクティスやFalco Actionsを用いた脅威検知を提案し、今後も安全なCI/CD環境構築を支援していくとしています。