SkillProgramaçãoRevisão
Guia de Workflows Seguros no GitHub
Audita e endurece workflows do GitHub Actions: permissões, pinning de actions, tratamento de secrets, OIDC e isolamento de entradas não confiáveis. Use ao revisar ou escrever workflows de CI com foco em segurança.
Ações
PerfilDev
ProfundidadeAlta
IdiomaInglês (skill original)
Objetivo
Em uma frase.
Tornar workflows do GitHub Actions seguros por padrão, aplicando permissões de menor privilégio, pinning de actions por SHA, minimização de secrets, OIDC para autenticação em cloud e isolamento de contextos de PR não confiáveis.
Aplicação
Quando
faz sentido.
Usar
- Auditar workflows existentes do GitHub Actions em busca de lacunas de segurança
- Escrever um novo workflow que lida com secrets ou faz deploy em cloud
- Revisar um PR que adiciona ou modifica workflows de CI
- Reavaliar pins após um advisory de segurança em uma action de terceiros
Não usar
- Provedores de CI fora do GitHub (GitLab, CircleCI, etc.), cujos padrões diferem
- Revisão de segurança em nível de aplicação (use applying-stride-threat-analysis)
- Auditoria de supply chain de dependências (use supply-chain-risk-auditor)
Prompt
Instruções
para a IA.
A skill organiza um checklist de endurecimento e um processo de auditoria sobre os arquivos em
### Checklist de endurecimento
Cobre permissões de menor privilégio (
### Contextos não confiáveis e OIDC
Um ponto crítico é a diferença entre
### Processo de auditoria e entregáveis
O processo lê cada workflow, aplica o checklist, pontua a severidade de cada achado e gera relatório com remediação. Os entregáveis incluem o relatório por arquivo, uma tabela de achados (problema, severidade, linha, remediação), um guia de remediação com templates de PR e a lista de mitigações para entradas não confiáveis.
.github/workflows/.### Checklist de endurecimento
Cobre permissões de menor privilégio (
read-all no nível do workflow e permissões explícitas por job, com contents: write e id-token: write apenas quando necessários); pinning de actions por commit SHA em vez de tag, já que tags podem ser movidas por mantenedor ou atacante; e tratamento de secrets, evitando expô-los como env no topo, ecoá-los via set -x e mascarando valores customizados.### Contextos não confiáveis e OIDC
Um ponto crítico é a diferença entre
pull_request (roda no contexto do PR, sem secrets — seguro para código não confiável) e pull_request_target (roda no contexto principal, com secrets — perigoso ao fazer checkout de código de PR sem revisão). A skill recomenda OIDC no lugar de chaves de longa duração e o uso de variáveis de ambiente intermediárias para entradas controladas pelo usuário (títulos, corpo e comentários de PR), evitando interpolação direta no shell.### Processo de auditoria e entregáveis
O processo lê cada workflow, aplica o checklist, pontua a severidade de cada achado e gera relatório com remediação. Os entregáveis incluem o relatório por arquivo, uma tabela de achados (problema, severidade, linha, remediação), um guia de remediação com templates de PR e a lista de mitigações para entradas não confiáveis.
Constelação
Onde
ela vive.
Bundles que incluem
Execução
Como usar
com IA.
- 01Copie a skill (botão "Copiar skill para IA", no topo): o texto copiado já é a skill completa, não um resumo.
- 02Abra o Claude ou Claude Code e cole — a IA recebe todas as instruções e fica pronta para a tarefa.
- 03Prefere usar como arquivo reutilizável? Baixe o .zip e coloque o
SKILL.mdem.claude/skills/(Claude Code) ou anexe o arquivo no Claude (claude.ai).