Risco de Action de Terceiros - Definicao do Glossario de CI/CD
O risco de action de terceiros e o perigo de que uma action externa que voce chama possa roubar secrets ou adulterar seu build.
O risco de action de terceiros e a exposicao da cadeia de suprimentos por usar actions que voce nao controla, ja que uma action comprometida ou maliciosa roda com o token e os secrets do seu workflow.
As mitigacoes incluem fixar em um SHA, revisar o codigo-fonte da action, restringir as permissoes do GITHUB_TOKEN e limitar quais actions um repositorio pode rodar.
Guias relacionados
Pinned Action SHA - CI/CD Glossary DefinitionPinned Action SHA: A pinned action SHA is referencing an action by its full 40-character commit hash (for exa…
Immutable Action - CI/CD Glossary DefinitionImmutable Action: An immutable action is a published action version that cannot be changed after release, so…
Least-Privilege Token - CI/CD Glossary DefinitionLeast-Privilege Token: A least-privilege token is a credential granted only the minimum scopes required for a…