just-shield 0.1.3

Pre-execution supply-chain scanner for GitHub Actions workflows
Documentation 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184

//! 외부(GitHub) 조회의 격리 인터페이스.
//!
//! 모든 온라인 규칙은 이 trait에만 의존한다 — 테스트는 가짜 구현으로
//! 하이재킹 상황을 오프라인 재현하고, 실제 구현은 `git ls-remote` 서브프로세스를
//! 사용해 HTTP 클라이언트 의존성 없이 동작한다.

use std::io;

/// GitHub에 대한 사실 조회.
pub trait GithubFacts {
    /// `owner/repo`의 `git_ref`(태그/브랜치)가 현재 가리키는 커밋 SHA.
    /// 참조가 존재하지 않으면 `Ok(None)`.
    fn resolve_ref(&self, owner_repo: &str, git_ref: &str) -> io::Result<Option<String>>;

    /// 커밋이 저장소의 정식 히스토리에서 도달 가능한가 (R5 임포스터 커밋 판정).
    /// `Ok(None)` = 판정 불가(미지원) — 규칙은 조용히 건너뛴다.
    fn commit_reachable(&self, _owner_repo: &str, _sha: &str) -> io::Result<Option<bool>> {
        Ok(None)
    }

    /// 참조가 가리키는 커밋의 커미터 시각, unix epoch 초 (R10 쿨다운 판정).
    /// `Ok(None)` = 참조 없음 또는 판정 불가 — 규칙은 조용히 건너뛴다.
    fn ref_timestamp(&self, _owner_repo: &str, _git_ref: &str) -> io::Result<Option<i64>> {
        Ok(None)
    }

    /// 저장소의 버전 태그 개수 (R2 교차 검증) — 유명 액션은 수십 개, 급조 짝퉁은 0~2개.
    /// `Ok(None)` = 판정 불가(미지원/저장소 없음) — 승격하지 않는다.
    fn ref_count(&self, _owner_repo: &str) -> io::Result<Option<usize>> {
        Ok(None)
    }
}

/// `git ls-remote` 기반의 실제 구현.
pub struct GitRemote;

impl GithubFacts for GitRemote {
    fn resolve_ref(&self, owner_repo: &str, git_ref: &str) -> io::Result<Option<String>> {
        let url = format!("https://github.com/{owner_repo}.git");
        // 주석 태그(annotated tag)는 태그 객체 SHA와 커밋 SHA가 다르다 —
        // `ref^{}`(peeled)가 실제 커밋이므로 함께 조회해 우선한다.
        let peeled = format!("{git_ref}^{{}}");
        let out = std::process::Command::new("git")
            .args(["ls-remote", &url, git_ref, &peeled])
            .output()?;
        if !out.status.success() {
            return Err(io::Error::other(format!(
                "git ls-remote 실패 ({owner_repo}): {}",
                String::from_utf8_lossy(&out.stderr).trim()
            )));
        }
        Ok(pick_best(&String::from_utf8_lossy(&out.stdout)))
    }

    fn commit_reachable(&self, owner_repo: &str, sha: &str) -> io::Result<Option<bool>> {
        Self::commit_reachable_impl(owner_repo, sha)
    }

    fn ref_timestamp(&self, owner_repo: &str, git_ref: &str) -> io::Result<Option<i64>> {
        Self::ref_timestamp_impl(owner_repo, git_ref)
    }

    fn ref_count(&self, owner_repo: &str) -> io::Result<Option<usize>> {
        let url = format!("https://github.com/{owner_repo}.git");
        let out = std::process::Command::new("git")
            .args(["ls-remote", "--tags", &url])
            .output()?;
        if !out.status.success() {
            // 저장소 없음/접근 불가 — 승격 근거가 될 수 없으므로 판정 불가.
            return Ok(None);
        }
        Ok(Some(
            String::from_utf8_lossy(&out.stdout)
                .lines()
                .filter(|l| !l.trim().is_empty())
                .count(),
        ))
    }
}

impl GitRemote {
    /// 임시 저장소에 해당 객체만 fetch해 본다. 도달 불가 객체는 GitHub이 거부한다.
    fn shallow_fetch(
        owner_repo: &str,
        want: &str,
    ) -> io::Result<(bool, String, std::path::PathBuf)> {
        let url = format!("https://github.com/{owner_repo}.git");
        let key = want
            .bytes()
            .fold(0u64, |h, b| h.wrapping_mul(31).wrapping_add(b as u64));
        let tmp =
            std::env::temp_dir().join(format!("just-shield-fetch-{}-{key:x}", std::process::id()));
        let _ = std::fs::remove_dir_all(&tmp);
        std::fs::create_dir_all(&tmp)?;
        let init = std::process::Command::new("git")
            .args(["init", "-q"])
            .current_dir(&tmp)
            .output()?;
        if !init.status.success() {
            return Err(io::Error::other("git init 실패"));
        }
        let fetch = std::process::Command::new("git")
            .args(["fetch", "--quiet", "--depth=1", &url, want])
            .current_dir(&tmp)
            .output()?;
        let stderr = String::from_utf8_lossy(&fetch.stderr).to_lowercase();
        Ok((fetch.status.success(), stderr, tmp))
    }

    /// API 조회와 달리 git 프로토콜은 포크에 숨긴 커밋(임포스터)을 내주지 않는다 —
    /// 정식 참조에서 도달 가능한 객체만 fetch된다.
    fn commit_reachable_impl(owner_repo: &str, sha: &str) -> io::Result<Option<bool>> {
        let (ok, stderr, tmp) = Self::shallow_fetch(owner_repo, sha)?;
        let _ = std::fs::remove_dir_all(&tmp);
        if ok {
            return Ok(Some(true));
        }
        // 도달 불가/미공개 객체 거부는 "임포스터" 신호, 그 외(네트워크 등)는 판정 보류.
        if stderr.contains("not our ref") || stderr.contains("unadvertised object") {
            return Ok(Some(false));
        }
        Err(io::Error::other(format!(
            "git fetch 실패 ({owner_repo}@{sha}): {}",
            stderr.trim()
        )))
    }

    fn ref_timestamp_impl(owner_repo: &str, git_ref: &str) -> io::Result<Option<i64>> {
        let (ok, stderr, tmp) = Self::shallow_fetch(owner_repo, git_ref)?;
        if !ok {
            let _ = std::fs::remove_dir_all(&tmp);
            if stderr.contains("couldn't find remote ref") {
                return Ok(None);
            }
            return Err(io::Error::other(format!(
                "git fetch 실패 ({owner_repo}@{git_ref}): {}",
                stderr.trim()
            )));
        }
        let log = std::process::Command::new("git")
            .args(["log", "-1", "--format=%ct", "FETCH_HEAD"])
            .current_dir(&tmp)
            .output()?;
        let _ = std::fs::remove_dir_all(&tmp);
        if !log.status.success() {
            return Ok(None);
        }
        Ok(String::from_utf8_lossy(&log.stdout).trim().parse().ok())
    }
}

/// ls-remote 출력에서 가장 정확한 SHA를 고른다: peeled(^{}) > tags > 그 외.
fn pick_best(output: &str) -> Option<String> {
    let mut tag = None;
    let mut other = None;
    for line in output.lines() {
        let Some((sha, name)) = line.split_once('\t') else {
            continue;
        };
        if name.ends_with("^{}") {
            return Some(sha.to_string());
        }
        if name.starts_with("refs/tags/") {
            tag.get_or_insert_with(|| sha.to_string());
        } else {
            other.get_or_insert_with(|| sha.to_string());
        }
    }
    tag.or(other)
}

#[cfg(test)]
mod tests {
    use super::pick_best;

    #[test]
    fn prefers_peeled_then_tag_then_branch() {
        let out = "aaa\trefs/heads/v4\nbbb\trefs/tags/v4\nccc\trefs/tags/v4^{}\n";
        assert_eq!(pick_best(out).as_deref(), Some("ccc"));
        let out = "aaa\trefs/heads/v4\nbbb\trefs/tags/v4\n";
        assert_eq!(pick_best(out).as_deref(), Some("bbb"));
        assert_eq!(pick_best(""), None);
    }
}