1. 权限与隔离
- 最小权限 permissions;细分环境密钥;复用工作流隔离职责。
- 自托管 Runner 隔离与镜像加固;临时凭据与过期策略。
2. 依赖与制品
- SBOM 生成(CycloneDX/Syft);依赖扫描(Trivy/Dependabot)。
- 制品签名(Sigstore/Cosign);镜像签名与验证策略。
3. 供应链与流程
- 固定第三方 Action 版本(SHA);审批与双人复核。
- 变更日志与版本管理自动化;回滚与审计。
4. 事件响应
- 告警与抑制;凭据泄露扫描;应急禁用 Action 与密钥轮换。
