Saltearse al contenido

GitHub Actions

Plan Pro

Planta una credencial señuelo al principio de cada ejecución de tu workflow — si una dependencia comprometida o un paso hostil intenta usarla, te llega una alerta con el repositorio, el workflow, y la IP que la usó.

Por qué importa

Una credencial señuelo no tiene ningún permiso real — cualquier intento de usarla es la señal, sin necesitar ajustar umbrales ni descartar falsos positivos de actividad legítima.

Configurar

  1. En la consola, ve a Integraciones → GitHub Actions y pulsa Conectar con GitHub.
  2. Elige, dentro de la propia interfaz de GitHub, qué repositorios autorizas — nunca escribes el nombre a mano, lo seleccionas de una lista real.
  3. Añade el paso a tu workflow:
permissions:
contents: read
id-token: write
jobs:
build:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
- name: Plantar señuelo NullDec
uses: nulldec/decoy-action@v1
with:
type: aws-keys

No necesitas guardar ningún secreto de NullDec en tu repositorio — GitHub emite un token que prueba de qué repositorio viene la petición, y lo verificamos automáticamente.

Tipos disponibles

aws-keys, aws-secret, kubeconfig, ssh-honeypot, mysql-honeypot — el resto del catálogo (documentos, QR, email) no tiene sentido en un entorno sin pantalla ni nadie interactuando en directo.

Dónde aparece

Cada ejecución del workflow genera su propio señuelo — aparece en tu lista de Señuelos con la etiqueta del repositorio y la ejecución concreta que lo generó.