SkillProgramaçãoRevisão

Guia de Workflows Seguros no GitHub

Audita e endurece workflows do GitHub Actions: permissões, pinning de actions, tratamento de secrets, OIDC e isolamento de entradas não confiáveis. Use ao revisar ou escrever workflows de CI com foco em segurança.

Ações
PerfilDev
ProfundidadeAlta
IdiomaInglês (skill original)
Objetivo

Em uma frase.

Tornar workflows do GitHub Actions seguros por padrão, aplicando permissões de menor privilégio, pinning de actions por SHA, minimização de secrets, OIDC para autenticação em cloud e isolamento de contextos de PR não confiáveis.

Aplicação

Quando
faz sentido.

Usar
  • Auditar workflows existentes do GitHub Actions em busca de lacunas de segurança
  • Escrever um novo workflow que lida com secrets ou faz deploy em cloud
  • Revisar um PR que adiciona ou modifica workflows de CI
  • Reavaliar pins após um advisory de segurança em uma action de terceiros
Não usar
Prompt

Instruções
para a IA.

A skill organiza um checklist de endurecimento e um processo de auditoria sobre os arquivos em .github/workflows/.

### Checklist de endurecimento

Cobre permissões de menor privilégio (read-all no nível do workflow e permissões explícitas por job, com contents: write e id-token: write apenas quando necessários); pinning de actions por commit SHA em vez de tag, já que tags podem ser movidas por mantenedor ou atacante; e tratamento de secrets, evitando expô-los como env no topo, ecoá-los via set -x e mascarando valores customizados.

### Contextos não confiáveis e OIDC

Um ponto crítico é a diferença entre pull_request (roda no contexto do PR, sem secrets — seguro para código não confiável) e pull_request_target (roda no contexto principal, com secrets — perigoso ao fazer checkout de código de PR sem revisão). A skill recomenda OIDC no lugar de chaves de longa duração e o uso de variáveis de ambiente intermediárias para entradas controladas pelo usuário (títulos, corpo e comentários de PR), evitando interpolação direta no shell.

### Processo de auditoria e entregáveis

O processo lê cada workflow, aplica o checklist, pontua a severidade de cada achado e gera relatório com remediação. Os entregáveis incluem o relatório por arquivo, uma tabela de achados (problema, severidade, linha, remediação), um guia de remediação com templates de PR e a lista de mitigações para entradas não confiáveis.
Constelação

Onde
ela vive.

Execução

Como usar
com IA.

  1. 01Copie a skill (botão "Copiar skill para IA", no topo): o texto copiado já é a skill completa, não um resumo.
  2. 02Abra o Claude ou Claude Code e cole — a IA recebe todas as instruções e fica pronta para a tarefa.
  3. 03Prefere usar como arquivo reutilizável? Baixe o .zip e coloque o SKILL.md em .claude/skills/ (Claude Code) ou anexe o arquivo no Claude (claude.ai).