Eduard Wisch
3a016ce999
All checks were successful
Deploy mahnung / deploy (push) Successful in 14s
Bug: ${{ github.event.head_commit.message }} wurde direkt in den
Bash-Script-Text eingefuegt. Sobald die Commit-Message Klammern,
Backticks oder andere Shell-Sonderzeichen enthielt, kam Syntaxfehler
"line 9: syntax error near unexpected token" und der ganze Deploy
fiel um. Phase 2, 3 und 5 waren betroffen, Phase 4 ging durch
weil zufaellig keine Klammern in der Message waren.
Zusaetzlich Sicherheits-Aspekt: Shell-Injection war moeglich, wenn
jemand eine Commit-Message mit Befehlssubstitution committet.
Fix:
- COMMIT_MSG via env: an den Step uebergeben statt im Run-Block
per Expression einzusetzen.
- RUN_NUMBER, NTFY_AUTH und GIT_TOKEN gleichzeitig via env: harten
fuer Konsistenz und Sicherheit.
- printf %s statt echo fuer mehrzeilige Messages.
- Klammern-frei verifiziert in dieser Commit-Message.
Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
|
||
|---|---|---|
| .. | ||
| workflows | ||