GitHub Actions Audit

Возможности

• Анализировать содержимое workflow YAML, вставленное напрямую, или по HTTPS-ссылке на raw-файл.
• Получать отчёт по 21 проверке: закрепление версий (pinning), разрешения (permissions), секреты (secrets), внедрение кода (injection) и другим.
• Фильтровать вывод по минимальному уровню серьёзности: critical, high, medium, low, info.
• Запускать выборочные проверки: только утечку секретов, только разрешения, только закрепление действий.
• Проверять безопасность self-hosted раннеров и уязвимости внедрения скриптов.
• Проверять конфигурацию таймаутов и общие настройки workflow на соответствие рекомендациям безопасности.
• Выполнять продвинутый анализ на класс атак TeamPCP (GHA-201..208).
• Просматривать каталог всех доступных проверок с поиском по категориям.
• Скачивать готовый YAML-фрагмент для устранения каждой найденной проблемы.

Как подключить

1. Получите доступ к серверу. Проще всего использовать Apify Actor: создайте экземпляр в Apify Console и получите его URL. Для локального запуска клонируйте репозиторий: git clone https://github.com/UnbearableDev/github-actions-audit.git cd github-actions-audit pip install -e .
2. Настройте MCP-клиент. Пример для Claude Desktop: { "mcpServers": { "github-actions-audit": { "command": "python", "args": ["-m", "mcp_server"] } } } Актуальные параметры уточняйте в документации сервера. При использовании Apify укажите URL и API-ключ.
3. Перезапустите MCP-клиент, чтобы применить изменения.

Примеры запросов

• «Проверь мой файл deploy.yml на все уязвимости»
• «Найди шаги, где не зафиксированы версии actions на точные коммиты»
• «Покажи места, где GITHUB_TOKEN имеет излишние права на запись»
• «Выполни аудит безопасности всего пайплайна и дай рекомендации по исправлению»

Технические детали

• Язык: Python
• Транспорт: Streamable HTTP
• Лицензия: Проприетарная (pay-per-event)
• Совместимость: Claude Desktop, Cursor, n8n, Make, Zapier, кастомные MCP-агенты