翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon CodeCatalyst におけるワークフローアクションのベストプラクティス

CodeCatalyst でワークフローを開発する際に考慮すべきセキュリティのベストプラクティスがいくつかあります。以下は一般的なガイドラインであり、完全なセキュリティソリューションを説明するものではありません。これらのベストプラクティスはお客様の環境に必ずしも適切または十分でない可能性があるので、処方箋ではなく、あくまで有用な考慮事項とお考えください。

機密情報

YAML に機密情報を埋め込まないでください。YAML に認証情報、キー、トークンを埋め込むのではなく、CodeCatalyst シークレットを使用することが推奨されます。シークレットを使用すると、YAML 内から機密情報を簡単に保存および参照できます。

ライセンス条項

使用するアクションのライセンス条項に注意してください。

信頼できないコード

アクションは通常、プロジェクト、スペース、またはより広範なコミュニティ間で共有できる、自己完結型の単一目的モジュールです。他のユーザーのコードを使用すると、利便性と効率が大幅に向上しますが、新しい脅威ベクトルも取り込まれます。以下のセクションを確認して、CI/CD ワークフローを安全に保つためのベストプラクティスに従っていることを確認します。

GitHub Actions

GitHub Actions はオープンソースであり、コミュニティによって構築および維持されています。私たちは、責任共有モデルに従い、GitHub Actions のソースコードを、お客様が責任を負うお客様のデータと見なします。GitHub Actions は、シークレット、リポジトリトークン、ソースコード、アカウントリンク、計算時間へのアクセスが許可されています。実行する予定の GitHub Actions の信頼性とセキュリティに自信があることを確認してください。

GitHub Actions のより具体的なガイダンスとセキュリティのベストプラクティスは以下のとおりです。