Audit log
Тема дорожной карты · GitHub Actions
Журнал аудита GitHub Actions ведёт защищённую от подделки запись каждого значимого события в CI/CD-пайплайнах организации: запуски workflow, доступ к секретам, изменения регистрации runner и модификации прав доступа. Владельцы организации могут запрашивать журнал аудита через веб-интерфейс GitHub или через REST API для расследования инцидентов безопасности, проверки соответствия требованиям и отслеживания того, кто запустил или изменил автоматизированные workflow. К ключевым событиям журнала аудита для GitHub Actions относятся workflows.run, secret.access, org.runner_group_created и изменения блоков permissions: в файлах workflow — все они фиксируются с указанием актора, временной метки и контекста репозитория. Хранение и экспорт журнала аудита в SIEM-платформу — критически важная практика для команд, управляющих регулируемыми пайплайнами непрерывной интеграции, поскольку это обеспечивает доказательную базу, требуемую стандартами SOC 2, ISO 27001 и аналогичными нормами. Регулярно просматривая журнал аудита GitHub Actions, platform-команды могут обнаруживать аномальное поведение пайплайна — например, неожиданные запуски workflow или несанкционированное чтение секретов — до того, как это перерастёт в серьёзный инцидент.
Как это работает
Audit log: пиньте actions по SHA (не тегу), least-privilege permissions, OIDC для cloud-auth, environment + required reviewers для production, concurrency cancel для старых запусков, быстрый фидбек (smoke + lint на каждый PR, полный suite после merge), reusable workflows для shared-пайплайнов, branch protection с обязательными checks, аудит third-party actions до добавления. Workflow-файлы — это код; ревьюьте как application-код.
Когда применять
Аудитьте .github/workflows/ раз в квартал — actions копятся, permissions расползаются, секреты множатся. pinact или похожие тулы — для SHA-пина actions массово. concurrency: — на длинные workflows для экономии compute. act (nektos/act) — для локального запуска workflows без сжигания квоты.
Типичные ошибки
Ловушки Audit log: бесконечное доверие издателям actions (malicious-обновление популярного крадёт все секреты — пиньте по SHA); workflow-файлы превращаются в junk drawer "мы продолжали добавлять"; нет плана для ротации утёкших секретов (должны быть leak detection + ротация-playbook).