

Amazon non CodeCatalyst è più aperta a nuovi clienti. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, consulta [Come migrare da CodeCatalyst](migration.md).

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Le migliori pratiche per le azioni del flusso di lavoro in Amazon CodeCatalyst
<a name="security-best-practices-for-actions"></a>

Esistono diverse best practice di sicurezza da prendere in considerazione durante lo sviluppo dei flussi di lavoro. CodeCatalyst Le seguenti sono linee guida generali e non rappresentano una soluzione di sicurezza completa. Poiché queste best practice potrebbero non essere appropriate o sufficienti per l'ambiente, gestiscile come considerazioni utili anziché prescrizioni.

**Topics**
+ [Informazioni sensibili](#sensitive-info)
+ [Termini di licenza](#licensing-terms)
+ [Codice non affidabile](#untrusted-code)
+ [GitHub Azioni](#github-actions)

## Informazioni sensibili
<a name="sensitive-info"></a>

Non incorporare informazioni sensibili nel tuo YAML. Invece di incorporare credenziali, chiavi o token nel tuo YAML, ti consigliamo di utilizzare dei segreti. CodeCatalyst I segreti offrono un modo semplice per archiviare e fare riferimento a informazioni sensibili all'interno del tuo YAML.

## Termini di licenza
<a name="licensing-terms"></a>

Assicurati di prestare attenzione ai termini di licenza dell'azione che scegli di utilizzare.

## Codice non affidabile
<a name="untrusted-code"></a>

Le azioni sono generalmente moduli autonomi e monouso che possono essere condivisi all'interno di un progetto, di uno spazio o di una comunità più ampia. L'utilizzo di codice altrui può essere un grande vantaggio in termini di praticità ed efficienza, ma introduce anche un nuovo vettore di minacce. Consulta le seguenti sezioni per assicurarti di seguire le migliori pratiche per proteggere i flussi di lavoro CI/CD.

## GitHub Azioni
<a name="github-actions"></a>

GitHub Le azioni sono open source, create e gestite dalla comunità. Seguiamo il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) e consideriamo il codice sorgente di GitHub Actions come dati dei clienti di cui sei responsabile. GitHub Actions può avere accesso ai segreti, ai token del repository, al codice sorgente, ai link degli account e al tempo di elaborazione. Assicurati di avere fiducia nell'affidabilità e nella sicurezza delle GitHub azioni che intendi eseguire.

Linee guida più specifiche e migliori pratiche di sicurezza per GitHub Actions:
+ [Rafforzamento della sicurezza](https://docs.github.com/en/actions/security-guides/security-hardening-for-github-actions)
+ [Prevenzione delle richieste proprie](https://securitylab.github.com/research/github-actions-preventing-pwn-requests/)
+ [Input non attendibile](https://securitylab.github.com/research/github-actions-untrusted-input/)
+ [Come fidarsi dei propri elementi costitutivi](https://securitylab.github.com/research/github-actions-building-blocks/)