Skip to content
Latchkey

Risco de Action de Terceiros - Definicao do Glossario de CI/CD

O risco de action de terceiros e o perigo de que uma action externa que voce chama possa roubar secrets ou adulterar seu build.

O risco de action de terceiros e a exposicao da cadeia de suprimentos por usar actions que voce nao controla, ja que uma action comprometida ou maliciosa roda com o token e os secrets do seu workflow.

As mitigacoes incluem fixar em um SHA, revisar o codigo-fonte da action, restringir as permissoes do GITHUB_TOKEN e limitar quais actions um repositorio pode rodar.

Guias relacionados