亚马逊 CodeCatalyst 不再向新买家开放。现有客户可以继续正常使用该服务。有关更多信息，请参阅 [如何从中迁移 CodeCatalyst](migration.md)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon CodeCatalyst 中的工作流操作的最佳实践
<a name="security-best-practices-for-actions"></a>

在 CodeCatalyst 中开发工作流时，需要考虑大量安全最佳实践。以下是一般指导原则，并不代表完整安全解决方案。这些最佳实操可能不适合您的环境或不满足您的环境要求，请将其视为有用的考虑因素而不是惯例。

**Topics**
+ [敏感信息](#sensitive-info)
+ [许可条款](#licensing-terms)
+ [不受信任的代码](#untrusted-code)
+ [GitHub Actions](#github-actions)

## 敏感信息
<a name="sensitive-info"></a>

请勿在 YAML 中嵌入敏感信息。建议您使用 CodeCatalyst 密钥，而不是在 YAML 中嵌入凭证、密钥或令牌。利用密钥，可以轻松地在 YAML 中存储和引用敏感信息。

## 许可条款
<a name="licensing-terms"></a>

请务必注意您选择使用的操作的许可条款。

## 不受信任的代码
<a name="untrusted-code"></a>

操作通常是独立的、单一用途的模块，可以跨项目、空间或更广泛的社区进行共享。虽然使用来自其他人的代码能够极大地提高便利性和效率，但也会引入新的威胁向量。请查看以下部分，务必遵循最佳实践以确保 CI/CD 工作流的安全。

## GitHub Actions
<a name="github-actions"></a>

GitHub Action 是开源的，由社区构建和维护。我们采用[责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)，将 GitHub Action 源代码视为客户数据，由您负责。您可以授权 GitHub Action 访问密钥、存储库令牌、源代码、账户链接和您的计算时间。请确保计划运行的 GitHub Action 安全可信。

更多适用于 GitHub Action 的具体指导和安全最佳实操，请参阅：
+ [安全加固](https://docs.github.com/en/actions/security-guides/security-hardening-for-github-actions)
+ [阻止 pwn 请求](https://securitylab.github.com/research/github-actions-preventing-pwn-requests/)
+ [不可信的输入](https://securitylab.github.com/research/github-actions-untrusted-input/)
+ [如何信任您的构建基块](https://securitylab.github.com/research/github-actions-building-blocks/)