Seguridad de GitHub Actions: Mejores prácticas después de dos incidentes importantes
Los recientes ataques a GitHub Actions, incluyendo un ataque a la cadena de suministro y una vulneración de tj-actions, resaltan riesgos de seguridad significativos. Esta guía ofrece consejos prácticos para proteger tus flujos de trabajo de GitHub Actions. Cubre la terminología esencial, las mejores prácticas para configurar la configuración a nivel de organización y la protección de ramas a nivel de repositorio, la gestión de secretos y la escritura segura de flujos de trabajo. Se discuten vulnerabilidades clave como la Ejecución de Pipeline Envenenada (PPE), junto con recomendaciones para minimizar el uso de acciones de terceros, controlar los permisos y utilizar herramientas para el análisis estático y la aplicación de políticas.