ci: fix release step #1359
ci: fix release step #1359
Conversation
|
![github-advanced-security[bot]](https://avatars.githubusercontent.com/in/57789?s=60&v=4){kind=small}
| with: | ||
| tag_name: ${{ needs.version.outputs.release-version }} | ||
| target_commitish: "$COMMIT_REF" | ||
| target_commitish: ${{ github.head_ref || github.ref }} |
Check failure
Code scanning / SonarCloud
GitHub Action invocations should not be vulnerable to parameter injection attacks High
There was a problem hiding this comment.
-> Si je comprends bien, le risque serait qu'un utilisateur malveillant fasse un commit sur main venant d'une branche dont le nom contiendrait du code à exécuter. Mais on contrôle qui a les droits d'accès en écriture => faux positif imo
|
NB : pour régler proprement le problème, j'ai l'impression qu'il faudrait faire un |
TL;DR: à merger pour réparer le workflow de release (push sur main).
Dans ce commit : 2190cbe j'ai essayé de régler une issue sonar (risque d'injection de code dans le 'target_commitish' du job de release).
Problème : avec ce que j'ai essayé, la variable ne se résout pas et le job échoue.
=> revert
Au passage, j'ai enlevé la step
sonardans lesneedsdu workflow de release : sonar tourne sur les PR avant qu'on les merge sur main, ça arrive qu'on veuille merge sur main & créer une release même si la validation sonar passe pas dans certains cas.