谷歌的Project Zero團隊致力於尋找公司自身軟件以及其他公司開發的軟件中的安全漏洞。其方法是私下向供應商報告缺陷，並在公開披露前給他們90天的時間來修復。根據情況的嚴重程度，這一期限可能會根據該集團的標準準則被延長或拉近。

11月初，谷歌公開披露了GitHub中的一個”高”嚴重性安全問題，此前後者無法在104天內修復–超過了標準時限。不過，GitHub用戶現在會很高興地知道，這個安全漏洞終於被填補了。

該安全漏洞源自GitHub Actions中的工作流命令，它作為執行動作和Action Runner之間的通信渠道極易受到注入攻擊。谷歌Project Zero的Felix Wilhelm最初報告了這個安全漏洞，他表示工作流命令的實現方式”從根本上來說是不安全的”。短期的解決方案是廢止命令語法，而長期的修復方法是將工作流命令轉移到一些外鏈通道，但這也很棘手，因為這會破壞依賴性代碼。在GitHub未能在規定的104天內修復該問題後，谷歌於11月2日公開披露了該問題。

顯然，這給該公司帶來了一定的壓力，目前該漏洞已經被修復。補丁說明顯示，該修復方法與Wilhelm提出的短期解決方案一致。

停用add-path和set-env runner命令(#779)

更新了dotnet安裝腳本(#779)

幾天前，GitHub已經修復了這個問題，但現在已經被谷歌Project Zero團隊驗證，並在問題庫中標記。這樣一來，安全團隊報告的公開問題清單就減少到了9個。其中包括微軟、高通和蘋果等眾多廠商開發的軟件。唯一存在於谷歌自家軟件中的開放問題與Android上的指針洩露有關，但這一”中等”嚴重性缺陷的狀態自2016年9月以來一直處於開放狀態。