Amazon CodeCatalyst は新規のお客様には提供されなくなりました。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「CodeCatalyst から移行する方法」を参照してください。

Amazon CodeCatalyst におけるワークフローアクションのベストプラクティス

CodeCatalyst でワークフローを開発する際に考慮すべきセキュリティのベストプラクティスがいくつかあります。以下は一般的なガイドラインであり、完全なセキュリティソリューションを説明するものではありません。これらのベストプラクティスはお客様の環境に適切ではないか、十分ではない場合があるため、これらは指示ではなく、有用な考慮事項と見なしてください。

機密情報

YAML に機密情報を埋め込まないでください。YAML に認証情報、キー、トークンを埋め込むのではなく、CodeCatalyst シークレットを使用することが推奨されます。シークレットを使用すると、YAML 内から機密情報を簡単に保存および参照できます。

ライセンス条項

使用するアクションのライセンス条項に注意してください。

信頼できないコード

アクションは通常、プロジェクト、スペース、またはより広範なコミュニティ間で共有できる、自己完結型の単一目的モジュールです。他のユーザーのコードを使用すると、利便性と効率が大幅に向上しますが、新しい脅威ベクトルも取り込まれます。以下のセクションを確認して、CI/CD ワークフローを安全に保つためのベストプラクティスに従っていることを確認します。

GitHub Actions

GitHub Actions はオープンソースであり、コミュニティによって構築および維持されています。私たちは、責任共有モデルに従い、GitHub Actions のソースコードを、お客様が責任を負うお客様のデータと見なします。GitHub Actions は、シークレット、リポジトリトークン、ソースコード、アカウントリンク、計算時間へのアクセスが許可されています。実行する予定の GitHub Actions の信頼性とセキュリティに自信があることを確認してください。

GitHub Actions のより具体的なガイダンスとセキュリティのベストプラクティスは以下のとおりです。