O GitHub anunciou uma atualização significativa em sua ação ‘actions/checkout’ para fortalecer a segurança da cadeia de suprimentos de software, bloqueando ataques conhecidos como pwn requests. A partir de 18 de junho de 2026, a nova versão da ação não permitirá a execução de códigos maliciosos provenientes de pull requests de forks, a menos que os autores do workflow optem explicitamente por permitir isso. Essa mudança é crucial, pois o trigger ‘pull_request_target’ pode executar código não confiável com privilégios elevados, expondo segredos e o GITHUB_TOKEN. O GitHub destacou que essa vulnerabilidade já foi explorada em ataques recentes, como o comprometimento de pacotes do sistema de construção Nx e outras brechas em projetos populares. A atualização será retroativa a versões suportadas a partir de 16 de julho de 2026. Para mitigar riscos, os desenvolvedores são aconselhados a usar ‘pull_request’ quando não necessitam de permissões elevadas e a revisar cuidadosamente os workflows que utilizam segredos e permissões de escrita.
Fonte: https://thehackernews.com/2026/06/github-updates-actionscheckout-to-block.html
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
23/06/2026 • Risco: ALTO
VULNERABILIDADE
GitHub reforça segurança na cadeia de suprimentos de software
RESUMO EXECUTIVO
A atualização do GitHub para bloquear pwn requests é uma resposta a vulnerabilidades ativas que podem comprometer segredos e permissões em projetos de software. Com a crescente dependência de plataformas como o GitHub, é crucial que as empresas revisem suas práticas de segurança para evitar exploração de código malicioso.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido a compromissos de segurança e vazamento de dados.
Operacional
Comprometimento de pacotes e exposição de segredos.
Setores vulneráveis
['Tecnologia', 'Desenvolvimento de Software', 'Startups']
📊 INDICADORES CHAVE
Comprometimento de múltiplos pacotes associados ao sistema de construção Nx.
Indicador
Vulnerabilidades exploradas em projetos populares como PostHog e TanStack.
Contexto BR
A atualização será retroativa a todas as versões suportadas.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se os workflows existentes utilizam 'pull_request_target' e revisar suas permissões.
2
Implementar a nova versão da ação 'actions/checkout' e revisar as configurações de segurança.
3
Monitorar continuamente os logs de atividades em workflows que utilizam pull requests.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança da cadeia de suprimentos de software, especialmente em um cenário onde o GitHub é amplamente utilizado para desenvolvimento colaborativo.
⚖️ COMPLIANCE
Implicações legais e de compliance com a LGPD em caso de vazamento de dados.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
