Amazon ya no CodeCatalyst está abierto a nuevos clientes. Los clientes existentes pueden seguir utilizando el servicio con normalidad. Para obtener más información, consulte [Cómo migrar desde CodeCatalyst](migration.md).

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Prácticas recomendadas para acciones de flujo de trabajo en Amazon CodeCatalyst
<a name="security-best-practices-for-actions"></a>

Hay varias prácticas recomendadas de seguridad que deben tenerse en cuenta a la hora de desarrollar flujos de trabajo en CodeCatalyst. Estas son directrices generales y no constituyen una solución de seguridad completa. Puesto que es posible que estas prácticas recomendadas no sean adecuadas o suficientes para el entorno, plantéeselas como consideraciones útiles en lugar de como normas.

**Topics**
+ [Información confidencial](#sensitive-info)
+ [Términos de licencia](#licensing-terms)
+ [Código que no sea de confianza](#untrusted-code)
+ [GitHub Actions](#github-actions)

## Información confidencial
<a name="sensitive-info"></a>

No inserte información confidencial en YAML. En lugar de incrustar credenciales, claves o tokens en YAML, le recomendamos que utilice secretos de CodeCatalyst. Los secretos proporcionan una forma sencilla de almacenar y hacer referencia a información confidencial desde YAML.

## Términos de licencia
<a name="licensing-terms"></a>

Preste atención a las condiciones de licencia de la acción que decida utilizar.

## Código que no sea de confianza
<a name="untrusted-code"></a>

Por lo general, las acciones son módulos autónomos de un solo propósito que se pueden compartir en un proyecto, un espacio o la comunidad en general. El uso de código de otros usuarios puede suponer una gran ventaja en términos de comodidad y eficiencia, pero también introduce un nuevo vector de amenazas. Revise las siguientes secciones para asegurarse de seguir las prácticas recomendadas para mantener seguros sus flujos de trabajo de integración y entrega continuas.

## GitHub Actions
<a name="github-actions"></a>

Las GitHub Actions son de código abierto, desarrolladas y mantenidas por la comunidad. Seguimos el [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) y consideramos el código fuente de GitHub Actions como datos de clientes de los que usted es responsable. A las GitHub Actions se les puede conceder acceso a secretos, tokens de repositorios, código fuente, enlaces de cuentas y tiempo de computación. Asegúrese de poder confiar en la fiabilidad y la seguridad de las GitHub Actions que vaya a ejecutar.

Guía más específica y mejores prácticas de seguridad para GitHub Actions:
+ [Refuerzo de la seguridad](https://docs.github.com/en/actions/security-guides/security-hardening-for-github-actions)
+ [Prevención de solicitudes propias](https://securitylab.github.com/research/github-actions-preventing-pwn-requests/)
+ [Entrada que no es de confianza](https://securitylab.github.com/research/github-actions-untrusted-input/)
+ [Cómo confiar en los componentes básicos](https://securitylab.github.com/research/github-actions-building-blocks/)