Un informe técnico reciente publicado por dhawos.dev advierte que la comodidad de utilizar acciones de terceros del marketplace en GitHub Actions está generando vulnerabilidades de seguridad significativas en los pipelines de CI/CD.
El análisis sugiere que la creciente dependencia de acciones preconfiguradas suele provocar una falta de consistencia entre los entornos de las máquinas de los desarrolladores y los sistemas de integración continua. Esta discrepancia puede obstaculizar la entrega de servicios de alta calidad y ralentizar los ritmos de desarrollo.
Según dhawos.dev, el auge de GitHub Actions es un síntoma de problemas estructurales más profundos en el ámbito de DevOps. El autor señala que, si bien la promesa de minimizar el mantenimiento de CI mediante el marketplace es tentadora, esta práctica puede derivar en fallos de seguridad críticos.
Específicamente, el informe señala el riesgo de que acciones comprometidas roben credenciales sensibles. El autor cita incidentes reales recientes, como el hackeo del escáner de seguridad Trivy y el compromiso en 2025 de la acción tj-actions/changed-files, como evidencia de este peligro.
"Solo hace falta una acción comprometida para que esos secretos sean robados", informa dhawentes.dev. El autor añade que el tiempo ahorrado al no escribir acciones personalizadas suele perderse gestionando las consecuencias de un ataque de este tipo.
Más allá de la seguridad, el informe identifica una pérdida de capacidad de prueba. El uso de acciones de terceros dificulta la realización de pruebas locales de los cambios en el pipeline, lo que puede retrasar la implementación de correcciones críticas (hotfixes) cuando ocurre un fallo en el entorno de CI/CD.
Cómo lograr entornos reproducibles
Para mitigar estos riesgos, el informe aboga por implementar mejores prácticas que prioricen la seguridad y la reproducibilidad. El autor sugiere el uso de herramientas como Nix o Docker para garantizar que los entornos de ejecución permanezcan idénticos tanto en Linux como en macOS.
Una de las recomendaciones principales es "fijar" (pin) las acciones a commits específicos en lugar de confiar en etiquetas mutables como v9. Esto evita que los atacantes redirijan una etiqueta de versión hacia una versión maliciosa de una acción.
Al controlar la versión exacta de herramientas como golangci-lint, los desarrolladores pueden evitar discrepancias entre los resultados locales y los de la CI. El informe concluye que, si bien los beneficios de GitHub Actions son significativos, los desarrolladores deben alejarse de la automatización no verificada para proteger sus cadenas de suministro de software.
