Prácticas recomendadas para acciones de flujo de trabajo en Amazon CodeCatalyst

Hay varias prácticas recomendadas de seguridad que deben tenerse en cuenta a la hora de desarrollar flujos de trabajo en CodeCatalyst. Estas son directrices generales y no constituyen una solución de seguridad completa. Puesto que es posible que estas prácticas recomendadas no sean adecuadas o suficientes para el entorno, plantéeselas como consideraciones útiles en lugar de como normas.

Información confidencial

No inserte información confidencial en YAML. En lugar de incrustar credenciales, claves o tokens en YAML, le recomendamos que utilice secretos de CodeCatalyst. Los secretos proporcionan una forma sencilla de almacenar y hacer referencia a información confidencial desde YAML.

Términos de licencia

Preste atención a las condiciones de licencia de la acción que decida utilizar.

Código que no sea de confianza

Por lo general, las acciones son módulos autónomos de un solo propósito que se pueden compartir en un proyecto, un espacio o la comunidad en general. El uso de código de otros usuarios puede suponer una gran ventaja en términos de comodidad y eficiencia, pero también introduce un nuevo vector de amenazas. Revise las siguientes secciones para asegurarse de seguir las prácticas recomendadas para mantener seguros sus flujos de trabajo de integración y entrega continuas.

GitHub Actions

Las GitHub Actions son de código abierto, desarrolladas y mantenidas por la comunidad. Seguimos el modelo de responsabilidad compartida y consideramos el código fuente de GitHub Actions como datos de clientes de los que usted es responsable. A las GitHub Actions se les puede conceder acceso a secretos, tokens de repositorios, código fuente, enlaces de cuentas y tiempo de computación. Asegúrese de poder confiar en la fiabilidad y la seguridad de las GitHub Actions que vaya a ejecutar.

Guía más específica y mejores prácticas de seguridad para GitHub Actions: