该论文《Action Required: A Mixed-Methods Study of Security Practices in GitHub Actions》针对持续集成/持续部署（CI/CD）工作流中的安全问题，特别是GitHub Actions的安全实践进行了深入研究。研究采用混合方法：首先通过大规模实证分析，扫描公开仓库中GitHub Actions的使用模式，识别常见的不安全配置，例如硬编码密钥、不当的权限管理、未验证的外部输入等；其次，对开发者进行半结构化访谈，了解其安全意识、决策动机和面临的挑战。研究发现，许多安全问题的根源在于文档不清晰、缺乏默认安全的设计以及开发者对安全风险的认知不足。论文基于这些发现，提出了一套改进GitHub Actions安全性的建议，包括改进官方文档、提供安全模板、以及引入自动化安全检查工具。该研究为CI/CD安全领域提供了实证数据和人因分析，有助于平台维护者和安全团队理解实际中的安全薄弱环节。