GitHub Actions
Plan Pro
Planta una credencial señuelo al principio de cada ejecución de tu workflow — si una dependencia comprometida o un paso hostil intenta usarla, te llega una alerta con el repositorio, el workflow, y la IP que la usó.
Por qué importa
Una credencial señuelo no tiene ningún permiso real — cualquier intento de usarla es la señal, sin necesitar ajustar umbrales ni descartar falsos positivos de actividad legítima.
Configurar
- En la consola, ve a Integraciones → GitHub Actions y pulsa Conectar con GitHub.
- Elige, dentro de la propia interfaz de GitHub, qué repositorios autorizas — nunca escribes el nombre a mano, lo seleccionas de una lista real.
- Añade el paso a tu workflow:
permissions: contents: read id-token: write
jobs: build: runs-on: ubuntu-latest steps: - uses: actions/checkout@v4
- name: Plantar señuelo NullDec uses: nulldec/decoy-action@v1 with: type: aws-keysNo necesitas guardar ningún secreto de NullDec en tu repositorio — GitHub emite un token que prueba de qué repositorio viene la petición, y lo verificamos automáticamente.
Tipos disponibles
aws-keys, aws-secret, kubeconfig, ssh-honeypot, mysql-honeypot — el resto del catálogo (documentos, QR, email) no tiene sentido en un entorno sin pantalla ni nadie interactuando en directo.
Dónde aparece
Cada ejecución del workflow genera su propio señuelo — aparece en tu lista de Señuelos con la etiqueta del repositorio y la ejecución concreta que lo generó.