Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Bonnes pratiques pour les actions de flux de travail sur Amazon CodeCatalyst
Il existe un certain nombre de bonnes pratiques de sécurité à prendre en compte lorsque vous développez vos flux de travail dans CodeCatalyst. Les directives suivantes sont générales et ne constituent pas une solution de sécurité complète. Étant donné que ces bonnes pratiques peuvent ne pas être appropriées ou suffisantes pour votre environnement, considérez-les comme des remarques utiles plutôt que comme des recommandations.
Informations sensibles
N'intégrez pas d'informations sensibles dans votre fichier YAML. Plutôt que d'intégrer des informations d'identification, des clés ou des jetons dans votre fichier YAML, nous vous recommandons d'utiliser CodeCatalyst des secrets. Les secrets permettent de stocker et de référencer facilement des informations sensibles depuis votre YAML.
Termes de licence
Assurez-vous de prêter attention aux conditions de licence de l'action que vous choisissez d'utiliser.
Code non fiable
Les actions sont généralement des modules autonomes à usage unique qui peuvent être partagés au sein d'un projet, d'un espace ou de la communauté au sens large. L'utilisation de code provenant d'autres utilisateurs peut apporter un gain de commodité et d'efficacité considérable, mais elle introduit également un nouveau vecteur de menace. Consultez les sections suivantes pour vous assurer que vous suivez les meilleures pratiques afin de sécuriser vos flux de travail CI/CD.
GitHub Les actions
GitHub Les actions sont open source, créées et maintenues par la communauté. Nous suivons le modèle de responsabilité partagée
Conseils plus spécifiques et meilleures pratiques de sécurité pour les GitHub actions :
