Amazon CodeCatalyst 不再向新客戶開放。現有客戶可以繼續正常使用該服務。如需詳細資訊，請參閱[如何從 CodeCatalyst 遷移](migration.md)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon CodeCatalyst 中工作流程動作的最佳實務
<a name="security-best-practices-for-actions"></a>

當您在 CodeCatalyst 中開發工作流程時，需要考慮幾個安全最佳實務。以下是一般準則，不代表完整的安全解決方案。這些最佳實務可能不適用或無法滿足您的環境需求，因此請將其視為實用建議就好，而不要當作是指示。

**Topics**
+ [敏感資訊](#sensitive-info)
+ [授權條款](#licensing-terms)
+ [不受信任的程式碼](#untrusted-code)
+ [GitHub 動作](#github-actions)

## 敏感資訊
<a name="sensitive-info"></a>

請勿在 YAML 中內嵌敏感資訊。我們建議您使用 CodeCatalyst 秘密，而不是在 YAML 中內嵌登入資料、金鑰或字符。秘密提供一種簡單的方法來儲存和參考 YAML 中的敏感資訊。

## 授權條款
<a name="licensing-terms"></a>

請務必注意您選擇使用之動作的授權條款。

## 不受信任的程式碼
<a name="untrusted-code"></a>

動作通常是獨立的單一用途模組，可以跨專案、空間或更廣泛的社群共用。使用其他人的程式碼可以獲得極大的便利性和效率，但也會引入新的威脅媒介。檢閱下列各節，以確保您遵循最佳實務來保護 CI/CD 工作流程的安全。

## GitHub 動作
<a name="github-actions"></a>

GitHub 動作是開放原始碼，由社群建置和維護。我們遵循[共同的責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)，並將 GitHub Actions 原始程式碼視為您負責的客戶資料。GitHub 動作可被授予存取秘密、儲存庫字符、原始程式碼、帳戶連結和您的運算時間。確保您對計劃執行的 GitHub 動作的可信度和安全性有信心。

GitHub 動作的更具體指導和安全性最佳實務：
+ [安全強化](https://docs.github.com/en/actions/security-guides/security-hardening-for-github-actions)
+ [防止 pwn 請求](https://securitylab.github.com/research/github-actions-preventing-pwn-requests/)
+ [不受信任的輸入](https://securitylab.github.com/research/github-actions-untrusted-input/)
+ [如何信任您的建置區塊](https://securitylab.github.com/research/github-actions-building-blocks/)