
Workflow Injection (CWE-77 / 78)
Jedes Mal, wenn Sie ${{ github.event.* }}, Branch-Namen, PR-Titel oder Issue-Bodies in einen `run:`-Block interpolieren, schleusen Sie Shell-Code in Ihre eigene Pipeline ein. Der Scanner markiert jeden nicht vertrauenswürdigen Input und folgt ihm durch jeden Step bis in die Shell, auch über Composite Actions hinweg.
