<div style="display: flex; flex-wrap: wrap; white-space: pre-wrap; align-items: center; "><img height="20" width="20" style="border-radius:50%; margin-right: 4px;" decoding="async" src="https://avatars.githubusercontent.com/u/1557529?s=20&v=4" /><strong>larouxn</strong> left a comment <a href="https://github.com/openstreetmap/openstreetmap-website/pull/6332#issuecomment-3198969289">(openstreetmap/openstreetmap-website#6332)</a></div>
<p dir="auto">To be clear, SHA pinning GitHub Actions dependencies is considered a best practice because someone could:</p>
<ol dir="auto">
<li>Release a bugged/infected/malicious version which without pinning runs would automatically use. Example: <code class="notranslate">actions/upload-artifact</code> is locked to v4 now so while the latest is v4.6.2, someone could release a v4.6.3, v4.7.0, v4.x.x and runs would automatically use that next time they run. A vulnerability.</li>
<li>More concerning to me, an existing tagged release could be moved to a new commit. Example: <code class="notranslate">actions/upload-artifact</code>'s latest release is v4.6.2 which our runs use automatically re: v4 specified version. Someone could in fact pull down the pushed v4.6.2 tag and re-tag a different commit with v4.6.2 and push that up and the next runs would automatically use that instead. A vulnerability.</li>
</ol>
<p dir="auto">ℹ️ I'll admit that given this repo is only using official GitHub, Ruby, and Coveralls GitHub Actions dependencies the risk of the above happening is rather low compared to if we were using an action from an arbitrary GitHub account but the risk still exists.</p>

<p style="font-size:small;-webkit-text-size-adjust:none;color:#666;">—<br />Reply to this email directly, <a href="https://github.com/openstreetmap/openstreetmap-website/pull/6332#issuecomment-3198969289">view it on GitHub</a>, or <a href="https://github.com/notifications/unsubscribe-auth/AAK2OLIOKTYDFQJYQWDXENL3OKA3NAVCNFSM6AAAAACEFLIOFCVHI2DSMVQWIX3LMV43OSLTON2WKQ3PNVWWK3TUHMZTCOJYHE3DSMRYHE">unsubscribe</a>.<br />You are receiving this because you are subscribed to this thread.<span style="color: transparent; font-size: 0; display: none; visibility: hidden; overflow: hidden; opacity: 0; width: 0; height: 0; max-width: 0; max-height: 0; mso-hide: all">Message ID: <span><openstreetmap/openstreetmap-website/pull/6332/c3198969289</span><span>@</span><span>github</span><span>.</span><span>com></span></span></p>

<script type="application/ld+json">[
{
"@context": "http://schema.org",
"@type": "EmailMessage",
"potentialAction": {
"@type": "ViewAction",
"target": "https://github.com/openstreetmap/openstreetmap-website/pull/6332#issuecomment-3198969289",
"url": "https://github.com/openstreetmap/openstreetmap-website/pull/6332#issuecomment-3198969289",
"name": "View Pull Request"
},
"description": "View this Pull Request on GitHub",
"publisher": {
"@type": "Organization",
"name": "GitHub",
"url": "https://github.com"
}
}
]</script>