Amazon CodeCatalyst は新規のお客様には提供されなくなりました。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[CodeCatalyst から移行する方法](migration.md)」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon CodeCatalyst におけるワークフローアクションのベストプラクティス
<a name="security-best-practices-for-actions"></a>

CodeCatalyst でワークフローを開発する際に考慮すべきセキュリティのベストプラクティスがいくつかあります。以下は一般的なガイドラインであり、完全なセキュリティソリューションを説明するものではありません。これらのベストプラクティスはお客様の環境に適切ではないか、十分ではない場合があるため、これらは指示ではなく、有用な考慮事項と見なしてください。

**Topics**
+ [機密情報](#sensitive-info)
+ [ライセンス条項](#licensing-terms)
+ [信頼できないコード](#untrusted-code)
+ [GitHub Actions](#github-actions)

## 機密情報
<a name="sensitive-info"></a>

YAML に機密情報を埋め込まないでください。YAML に認証情報、キー、トークンを埋め込むのではなく、CodeCatalyst シークレットを使用することが推奨されます。シークレットを使用すると、YAML 内から機密情報を簡単に保存および参照できます。

## ライセンス条項
<a name="licensing-terms"></a>

使用するアクションのライセンス条項に注意してください。

## 信頼できないコード
<a name="untrusted-code"></a>

アクションは通常、プロジェクト、スペース、またはより広範なコミュニティ間で共有できる、自己完結型の単一目的モジュールです。他のユーザーのコードを使用すると、利便性と効率が大幅に向上しますが、新しい脅威ベクトルも取り込まれます。以下のセクションを確認して、CI/CD ワークフローを安全に保つためのベストプラクティスに従っていることを確認します。

## GitHub Actions
<a name="github-actions"></a>

GitHub Actions はオープンソースであり、コミュニティによって構築および維持されています。私たちは、[責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)に従い、GitHub Actions のソースコードを、お客様が責任を負うお客様のデータと見なします。GitHub Actions は、シークレット、リポジトリトークン、ソースコード、アカウントリンク、計算時間へのアクセスが許可されています。実行する予定の GitHub Actions の信頼性とセキュリティに自信があることを確認してください。

GitHub Actions のより具体的なガイダンスとセキュリティのベストプラクティスは以下のとおりです。
+ [セキュリティ強化](https://docs.github.com/en/actions/security-guides/security-hardening-for-github-actions)
+ [pwn 要求の阻止](https://securitylab.github.com/research/github-actions-preventing-pwn-requests/)
+ [信頼できない入力](https://securitylab.github.com/research/github-actions-untrusted-input/)
+ [ビルディングブロックを信頼する方法](https://securitylab.github.com/research/github-actions-building-blocks/)