أمن GitHub Actions: أفضل الممارسات بعد حادثتين رئيسيتين
2025-05-08
سلطت الهجمات الأخيرة على GitHub Actions، بما في ذلك هجوم على سلسلة التوريد ومحاولة اختراق tj-actions، الضوء على مخاطر أمنية كبيرة. يقدم هذا الدليل نصائح عملية لتأمين سير عمل GitHub Actions الخاص بك. فهو يغطي المصطلحات الأساسية، وأفضل الممارسات لتكوين إعدادات على مستوى المنظمة وحماية الفروع على مستوى المستودع، وإدارة الأسرار، وكتابة سير العمل الآمنة. ويتم مناقشة نقاط الضعف الرئيسية مثل تنفيذ خط الأنابيب المسموم (PPE)، بالإضافة إلى توصيات لتقليل استخدام إجراءات الجهات الخارجية، والتحكم في الأذونات، واستخدام أدوات للتحليل الثابت وإنفاذ السياسات.
التطوير