Sempre trabalhando para melhorar seu serviço, o GitHub lançou uma ferramenta para tornar o actions mais seguro.
O GitHub, plataforma líder para colaboração no desenvolvimento de software, revelou a mais recente ferramenta chamada actions-permissions (permissões de ações).
GitHub lançou uma ferramenta para tornar o actions mais seguro
Essa ferramenta foi projetada especificamente para atender à necessidade de melhor segurança e controle sobre o token do repositório usado nos fluxos de trabalho do GitHub Actions.
O GitHub Actions, que permite aos usuários automatizar várias tarefas e fluxos de trabalho em seus repositórios, utiliza um token de acesso temporário ao repositório conhecido como GITHUB_TOKEN.
No passado, esses tokens possuíam permissões abrangentes, concedendo acesso total de leitura e gravação ao repositório, com apenas solicitações pull de forks sendo uma exceção.
No entanto, o GitHub implementou um modelo de permissão mais refinado para tokens de fluxo de trabalho em 2021. Como parte dessa mudança, as permissões padrão para novos repositórios e organizações foram definidas como somente leitura, fornecendo um ponto de partida mais seguro.
Apesar desses avanços, um número significativo de fluxos de trabalho ainda depende de um token de gravação total devido às configurações padrão de permissão do fluxo de trabalho. Em muitos casos, as permissões de gravação não são realmente necessárias.
Para ajudar os usuários a identificar se seus fluxos de trabalho estão usando permissões padrão excessivamente amplas, o GitHub fornece uma maneira simples de verificar a seção “Permissões do fluxo de trabalho” nas configurações do repositório ou da organização.
Embora a mudança para uma configuração de permissão somente leitura seja considerada uma prática recomendada de segurança, isso pode interromper inadvertidamente os fluxos de trabalho existentes que dependem de permissões de gravação total.
Outro desafio surge ao aplicar o princípio do menor privilégio, pois fluxos de trabalho complexos geralmente envolvem várias ações, tornando fácil ignorar permissões específicas necessárias para a execução adequada do fluxo de trabalho.
Além disso, as diversas etapas e os mecanismos de tratamento de erros presentes nos fluxos de trabalho podem dificultar a determinação do conjunto preciso de privilégios necessários para definições de fluxo de trabalho mais complexas.
Para ajudar os usuários na transição para um modelo de permissão de fluxo de trabalho mais seguro, o GitHub introduziu um conjunto de ferramentas poderosas chamadas permissões de ações.
Essas ferramentas fornecem recursos de monitoramento e recomendação que simplificam o processo de identificação e atribuição das permissões mínimas necessárias para um determinado fluxo de trabalho.
A ação Monitor, um dos principais componentes das permissões de ações, instala um proxy local no executor do fluxo de trabalho.
Ele coleta ativamente informações sobre qualquer interação com a API do GitHub iniciada pelo fluxo de trabalho, permitindo que os usuários analisem e entendam as permissões mínimas necessárias.
As recomendações são convenientemente apresentadas como parte do resumo de execução do fluxo de trabalho, fornecendo informações claras sobre as permissões necessárias.
Além da ação Monitor, o GitHub oferece a ação Advisor, que funciona como uma ferramenta local e uma forma de resumir as recomendações de várias execuções de fluxo de trabalho.
Esse recurso fornece aos usuários uma visão geral abrangente das permissões necessárias em várias iterações de seus fluxos de trabalho.
Depois que os usuários tiverem implementado as permissões recomendadas em seus fluxos de trabalho, eles poderão interromper o uso dessas ferramentas.
Se quaisquer permissões adicionais forem necessárias para iterações futuras, os usuários poderão adicioná-las facilmente conforme necessário.
O GitHub convida os usuários a experimentar essas ferramentas e fornecer feedback valioso, contribuindo para a melhoria contínua das ofertas do GitHub.
Com permissões de ações, o GitHub continua a demonstrar seu compromisso em fornecer um ambiente seguro e eficiente para desenvolvedores e organizações em todo o mundo.