Vorfälle in jüngster Zeit haben bewiesen, dass Continuous-Integration-(CI)-Workflows das neue Angriffsfeld auf die Software‑Lieferkette sind. Sicherheitsfallen in GitHub-Actions-Workflows – etwa die unbereinigte Nutzung von Pull-Request-(PR)-Daten – können es Angreifern ermöglichen, während CI-Runs bösartigen Code auszuführen – mit verheerenden Folgen. So wurde der aufsehenerregende „S1ngularity“-Angriff auf das Nx‑Projekt, der im August 2025 zum Diebstahl  von 83.000 …