GitHub Actions 2026: Security Roadmap mit Lockfiles und Runner-Sandbox

Die Angriffe auf CI/CD-Pipeline nehmen zu: tj-actions/changed-files, Nx und trivy-action zeigen ein klares Muster. Angreifer zielen direkt auf die Automatisierung, nicht nur auf die Software selbst. GitHub stellt seine 2026-Security-Roadmap vor.

Dependency Locking für Workflows

Actions werden bisher zur Laufzeit aufgelöst – Tags und Branches sind mutable. Das neue dependencies:-Feld in Workflow-YAMLs sperrt alle direkten und transitiven Dependencies mit Commit-SHAs. Wie go.mod + go.sum, aber für Workflows. Das bedeutet deterministische Runs, reviewbare Updates, Fail-Fast bei Hash-Mismatches und volle Transparenz bei Composite-Actions.

Ecosystem-, Attack-Surface- und Infrastructure-Layer

Die Roadmap deckt drei Ebenen: Ecosystem (deterministische Dependencies, sichereres Publishing), Attack Surface (Policies, Secure Defaults, Scoped Credentials), Infrastructure (Echtzeit-Observability, enforceable Network Boundaries). Aktionsabhängigkeiten werden nicht mehr zur Laufzeit aufgelöst, sondern vorher festgezurrt.

Zeitplan

Public Preview: 3-6 Monate. General Availability: ca. 6 Monate. Daneben arbeitet GitHub an hardened Publishing mit immutable Releases und erweiterten Network Boundaries für Runner.

Link: GitHub Blog