Sobre segredos
Os segredos permitem que você armazene informações confidenciais na sua organização, repositório ou em ambientes do repositório. Segredos são variáveis que você cria para usar em fluxos de trabalho do GitHub Actions em uma organização, repositório ou ambiente de repositório.
GitHub Actions só poderá ler um segredo se você incluí-lo explicitamente em um fluxo de trabalho.
Nomear os seus segredos
Tip
Para ajudar a garantir que o GitHub oculte os segredos em logs corretamente, evite usar dados estruturados como valores de segredos.
As regras a seguir aplicam-se aos nomes dos segredos:
- Só pode conter caracteres alfanuméricos (
[a-z],[A-Z],[0-9]) ou sublinhados (_). Espaços não são permitidos. - Não precisa começar com o prefixo
GITHUB_. - Não precisa começar com um número.
- Não diferenciam maiúsculas de minúsculas.
- Deve ser exclusivo para o repositório, a organização ou a empresa em que são criados.
Se houver um segredo com o mesmo nome em vários níveis, o segredo no nível mais baixo terá precedência. Por exemplo, se um segredo a nível de organização tiver o mesmo nome que um segredo a nível de repositório, o segredo a nível de repositório terá prioridade. Da mesma forma, se uma organização, repositório e ambiente tiverem um mesmo nome, o segredo do nível de ambiente terá prioridade.
Usando seus segredos em fluxos de trabalho
Warning
Se um segredo foi usado no trabalho, o GitHub edita automaticamente os segredos impressos no log. Você deve evitar imprimir segredos no log intencionalmente.
Segredos no nível da organização permitem que você compartilhe segredos entre vários repositórios, o que reduz a necessidade de criar segredos duplicados. A atualização de um segredo de organização em um único local também garante que a alteração tenha efeito em todos os fluxos de trabalho do repositório que usam esse segredo.
Para segredos de ambiente, você pode habilitar os revisores necessários para controlar o acesso aos segredos. Um trabalho de fluxo de trabalho não pode acessar segredos de ambiente até que a aprovação seja concedida por aprovadores necessários.
Para disponibilizar um segredo para uma ação, você deve configurá-lo como uma entrada ou variável de ambiente no arquivo do fluxo de trabalho. Revise o arquivo README da ação para saber quais entradas e variáveis de ambientes a ação exige. Confira Sintaxe de fluxo de trabalho para o GitHub Actions.
Os segredos da organização e do repositório são lidos quando uma execução de fluxo de trabalho é enfileirada e os segredos de ambiente são lidos quando um trabalho que faz referência ao ambiente é iniciado.
Permissões limitadas de credenciais
Ao gerar credenciais, recomendamos que você conceda as permissões mínimas possíveis. Por exemplo, em vez de usar credenciais pessoais, use chaves de implantação ou uma conta de serviço. Considere conceder permissões somente leitura se isso o necessário e limite o acesso tanto quanto possível.
Ao gerar um personal access token (classic), selecione o menor número de escopos necessário. Ao gerar um fine-grained personal access token, selecione as permissões e o acesso ao repositório mínimos necessários.
Em vez de usar um personal access token, considere usar um GitHub App, que usa permissões refinadas e tokens de curta duração, similar a um fine-grained personal access token. Ao contrário de um personal access token, um GitHub App não está vinculado a um usuário, portanto, o fluxo de trabalho continuará funcionando mesmo que o usuário que instalou o aplicativo saia da organização. Para saber mais, confira Fazer solicitações de API autenticadas com um Aplicativo do GitHub em um fluxo de trabalho do GitHub Actions.