Enterprise Server 3.20 está disponível no momento como versão candidata a lançamento.

Segredos

Saiba mais sobre segredos à medida que são utilizados em fluxos de trabalho do GitHub Actions.

Neste artigo

Sobre segredos

Os segredos permitem que você armazene informações confidenciais na organização, repositório ou em ambientes de repositório. Segredos são variáveis que você cria para usar em fluxos de trabalho do GitHub Actions dentro de uma organização, repositório ou ambiente de repositório.

GitHub Actions só poderá ler um segredo se você incluí-lo explicitamente em um fluxo de trabalho.

Segredos no nível da organização

Segredos no nível da organização permitem que você compartilhe segredos entre vários repositórios, o que reduz a necessidade de criar segredos duplicados. A atualização de um segredo de organização em um único local também garante que a alteração tenha efeito em todos os fluxos de trabalho do repositório que usam esse segredo.

Ao criar um segredo para uma organização, você poderá usar uma política para limitar o acesso por repositório. Por exemplo, você pode conceder acesso a todos os repositórios ou limitar o acesso a apenas repositórios privados ou a uma lista específica de repositórios.

Para segredos de ambiente, você pode habilitar os revisores necessários para controlar o acesso aos segredos. Uma tarefa de fluxo de trabalho não pode acessar segredos do ambiente até que a aprovação seja concedida pelos aprovadores exigidos.

Para disponibilizar um segredo para uma ação, você deve configurá-lo como uma entrada ou variável de ambiente no arquivo do fluxo de trabalho. Revise o arquivo README da ação para saber quais entradas e variáveis de ambientes a ação exige. Confira Sintaxe de fluxo de trabalho para o GitHub Actions.

Limitar permissões de credenciais

Ao gerar credenciais, recomendamos que você conceda as permissões mínimas possíveis. Por exemplo, em vez de usar credenciais pessoais, use chaves de implantação ou uma conta de serviço. Considere conceder permissões de somente leitura se isso for tudo o que é necessário e limite o acesso na medida do possível.

Ao gerar um personal access token (classic), selecione o menor número de escopos necessário. Ao gerar um fine-grained personal access token, selecione as permissões e o acesso ao repositório mínimos necessários.

Em vez de usar um personal access token, considere usar um GitHub App, que usa permissões refinadas e tokens de curta duração, similar a um fine-grained personal access token. Ao contrário de um personal access token, um GitHub App não está vinculado a um usuário, portanto, o fluxo de trabalho continuará funcionando mesmo que o usuário que instalou o aplicativo saia da organização. Para saber mais, confira Fazer solicitações de API autenticadas com um aplicativo GitHub em um fluxo de trabalho GitHub Actions.

Segredos ocultados automaticamente

O GitHub Actions remove automaticamente o conteúdo de todos os segredos do GitHub, que são registrados nos logs de fluxos de trabalho.

Além disso, o GitHub Actions oculta informações que são identificadas como confidenciais, mas que não estão armazenadas como um segredo. Para obter uma lista de segredos redigidos automaticamente, confira Referência de segredos.

Como há várias maneiras de transformar um valor secreto, essa redação não é garantida. Além disso, o runner só pode redigir segredos usados no trabalho atual. Como resultado, existem certas etapas proativas de segurança que você deve seguir para ajudar a garantir que os segredos sejam redigidos, e para limitar outros riscos associados aos segredos. Para obter uma lista de referência das práticas recomendadas de segurança com segredos, consulte Referência de segredos.

Leitura adicional

  •         [AUTOTITLE](/actions/security-for-github-actions/security-guides/using-secrets-in-github-actions)

  •         [AUTOTITLE](/rest/actions/secrets)