Skip to content

actions-source-policy.md

Latest commit

 

History

History
89 lines (63 loc) · 4.73 KB

actions-source-policy.md

File metadata and controls

89 lines (63 loc) · 4.73 KB

Πολιτική Προέλευσης Ενεργειών (Φάση 1)

Αυτό το έγγραφο ορίζει την πολιτική ελέγχου προέλευσης για τα GitHub Actions σε αυτό το αποθετήριο.

Στόχος Φάσης 1: Περιορισμός των επιτρεπόμενων ενεργειών με ελάχιστη οργανωτική αναστάτωση, πριν από την πλήρη εφαρμογή του SHA pinning.

Τρέχουσα Πολιτική

  • Δικαιώματα Actions: Ενεργοποιημένα (Enabled).
  • Περιορισμός Ενεργειών: Επιλεγμένες ενέργειες (Selected actions).
  • Απαίτηση SHA Pinning: Απενεργοποιημένη (θα εφαρμοστεί στη Φάση 2).

Λίστα Επιτρεπόμενων (Allowlist)

Επιτρέπονται τα παρακάτω πρότυπα ενεργειών:

  • actions/* (επίσημα actions για cache, checkout, artifacts κ.λπ.)
  • docker/*
  • dtolnay/rust-toolchain@*
  • DavidAnson/markdownlint-cli2-action@*
  • lycheeverse/lychee-action@*
  • EmbarkStudios/cargo-deny-action@*
  • rustsec/audit-check@*
  • rhysd/actionlint@*
  • softprops/action-gh-release@*
  • sigstore/cosign-installer@*
  • Checkmarx/vorpal-reviewdog-github-action@*
  • Swatinem/rust-cache@*

Διαδικασία Ελέγχου Αλλαγών

Χρησιμοποιήστε τις παρακάτω εντολές για να επαληθεύσετε την τρέχουσα πολιτική:

gh api repos/zeroclaw-labs/zeroclaw/actions/permissions
gh api repos/zeroclaw-labs/zeroclaw/actions/permissions/selected-actions

Κάθε αλλαγή στην πολιτική πρέπει να καταγράφει:

  • Ημερομηνία και ώρα (UTC).
  • Υπεύθυνος αλλαγής (Actor).
  • Αιτιολογία.
  • Μεταβολές στη λίστα επιτρεπόμενων.
  • Οδηγίες επαναφοράς (Rollback).

Σκεπτικό

  • Μείωση του κινδύνου στην εφοδιαστική αλυσίδα (supply-chain risk) από μη ελεγμένες ενέργειες.
  • Διατήρηση της λειτουργικότητας CI/CD με ελάχιστο κόστος μετάβασης.
  • Προετοιμασία για το SHA pinning στη Φάση 2 χωρίς παρεμπόδιση της ανάπτυξης.

Οδηγίες για Αυτοματοποιημένες Ροές (Agentic Guardrails)

Λόγω του μεγάλου όγκου αλλαγών από αυτοματοποιημένους πράκτορες:

  • Κάθε PR που τροποποιεί πηγές ενεργειών (uses:) πρέπει να τεκμηριώνει την επίδραση στη λίστα επιτρεπόμενων.
  • Νέες ενέργειες τρίτων απαιτούν έγκριση από συντηρητή (maintainer).
  • Αποφύγετε τη χρήση γενικών συμβόλων (wildcards) όπου είναι δυνατόν.

Λίστα Ελέγχου Επικύρωσης

Μετά από κάθε αλλαγή, επιβεβαιώστε τη λειτουργία των παρακάτω:

  1. CI (Συνεχής Ενσωμάτωση).
  2. Docker builds.
  3. Έλεγχος Ασφαλείας (Security Audit).
  4. Ορθότητα Ροής Εργασιών (Workflow Sanity).
  5. Διαδικασία Έκδοσης (Release).

Σφάλμα προς παρακολούθηση: action is not allowed by policy. Σε περίπτωση αυτού του σφάλματος, προσθέστε μόνο τη συγκεκριμένη έμπιστη ενέργεια και τεκμηριώστε την αλλαγή.

Ιστορικό Αλλαγών

  • 2026-02-21: Προσθήκη Checkmarx/vorpal-reviewdog-github-action@* για στοχευμένους ελέγχους ασφαλείας.
  • 2026-02-26: Τυποποίηση cache Rust και Docker build actions.
    • Προστέθηκε allowlist μοτίβο: Swatinem/rust-cache@*.
    • Τα Docker build jobs χρησιμοποιούν docker/setup-buildx-action και docker/build-push-action.
  • 2026-02-16: Προσθήκη sigstore/cosign-installer@* για την υπογραφή εκδόσεων.
  • 2026-02-17: Αντικατάσταση του cargo install cargo-audit με την ενέργεια rustsec/audit-check@*.

Επαναφορά (Rollback)

Σε περίπτωση έκτακτης ανάγκης:

  1. Ορίστε προσωρινά την πολιτική σε all.
  2. Διορθώστε τη λίστα επιτρεπόμενων.
  3. Καταγράψτε το περιστατικό και την τελική λύση.