Proteções de execução de fluxo de trabalho

Sobre proteções de execução de fluxo de trabalho

As proteções de execução de fluxo de trabalho permitem definir uma lista de permissões que controla quem pode disparar GitHub Actions fluxos de trabalho e quais eventos têm permissão para executá-los. Anteriormente, um fluxo de trabalho era executado com base no arquivo de fluxo de trabalho no commit que o acionou, e um invasor com acesso ao repositório poderia modificar esse arquivo para executar código malicioso. As proteções de execução de fluxo de trabalho fecham essa lacuna. Os administradores definem as regras e GitHub Actions as avaliam antes que um fluxo de trabalho seja executado, para que um ator ou evento não autorizado nunca atinja a execução.

As proteções de execução de fluxo de trabalho estão disponíveis nos níveis corporativo, organizacional e repositório.

Apoiado por conjuntos de regras

As proteções de execução de fluxo de trabalho se baseiam na estrutura de conjuntos de regras GitHub, portanto, a segmentação que você já conhece dos conjuntos de regras também se aplica aqui. Você pode aplicar proteções usando conjuntos de regras e defini-las para repositórios específicos usando propriedades personalizadas do repositório. Isso significa que você pode impor amplas proteções de um lugar em vez de configurar cada arquivo de fluxo de trabalho individualmente. Para obter mais informações sobre os conjuntos de regras, confira Sobre os conjuntos de regras.

Você também pode usar o modo de avaliação para executar suas regras sem aplicá-las. O modo de avaliação mostra exatamente o que uma regra bloquearia antes de aplicá-la, para que você possa implementar políticas sem interromper os fluxos de trabalho existentes.

Regras disponíveis

Evento e ator são as duas primeiras regras e GitHub planeja adicionar mais regras ao longo do tempo.

• Regras de atores controlam quem pode disparar fluxos de trabalho, incluindo usuários individuais, papéis no repositório, como Leitura, Manutenção e Administração, GitHub Apps, Copilot e Dependabot.
• As regras de evento controlam quais eventos são permitidos, comopush, , pull_requeste pull_request_target``workflow_dispatch.

Por padrão, cada usuário com acesso de gravação a um repositório pode disparar fluxos de trabalho. As regras para atores permitem separar quem contribui com código de quem executa sua integração contínua (CI), para que você possa conceder a um colaborador permissão de escrita sem conceder a ele a permissão de executar fluxos de trabalho.

Impedir técnicas comuns usadas por invasores

As proteções de execução de fluxo de trabalho interrompem vários padrões de ataque do mundo real:

• Execução de pipeline comprometida por pull requests. Restrinja ou proíba pull_request_target, inclusive em repositórios públicos em que ele é explorado com mais frequência.
• Abuso de acionamento manual. Limite workflow_dispatch para mantenedores para que identidades não confiáveis não possam iniciar fluxos de trabalho.
• Execução por agente não confiável. Bloqueie completamente identidades de baixa confiança para que não acionem fluxos de trabalho.
• Exploração de configuração incorreta. Aplique uma política central que substitua qualquer arquivo de fluxo de trabalho configurado incorretamente.

Configurando proteções de execução de fluxo de trabalho

Você configura as proteções de execução de fluxo de trabalho na nova seção Políticas de suas GitHub Actions configurações. Esta seção Políticas é separada das configurações gerais existentes.

1. No canto superior direito de GitHub, clique na foto de perfil e clique em Your organizations.

2. Selecione uma organização clicando nela.

3. No nome da organização, clique em Settings. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

   

4. Na barra lateral esquerda, em Ações, clique em Políticas.

5. Crie um conjunto de regras e adicione suas regras de evento e ator.

6. Escolha se o conjunto de regras está ativo ou no modo de avaliação e salve as alterações.