Skip to content

chore: pinear SonarSource/sonarqube-scan-action a SHA#49

Merged
DevOtter97 merged 1 commit into
mainfrom
chore/pin-sonar-action-sha
May 2, 2026
Merged

chore: pinear SonarSource/sonarqube-scan-action a SHA#49
DevOtter97 merged 1 commit into
mainfrom
chore/pin-sonar-action-sha

Conversation

@DevOtter97

Copy link
Copy Markdown
Owner

Resumen

Cierra el Security Hotspot que SonarCloud abrió en main tras el merge de #45 — regla githubactions:S7637 (Use full commit SHA hash for this dependency).

Cambio: SonarSource/sonarqube-scan-action@v6@fd88b7d... (SHA del tag v6.0.0).

Por qué

Una tag de GitHub (v6, v6.0) es mutable: si SonarSource pierde control del repo, un atacante puede reescribir la tag para que apunte a un commit con un script malicioso, y el siguiente run de nuestro CI ejecutaría ese código con acceso a SONAR_TOKEN y GITHUB_TOKEN. Pinear a SHA elimina ese vector.

Por qué solo esta action

Sonar no flagea actions/checkout, actions/setup-node, etc. — son first-party de GitHub y la regla las exime. Pinear las de actions/* a SHA también es buena práctica pero hace el workflow ilegible y requiere Renovate/Dependabot para no quedarse sin actualizaciones de seguridad. Si en algún momento se quiere ese nivel de paranoia se hace en otro PR + bot de actualización.

Mantenimiento

Cuando salga una nueva versión de la action: comprobar https://github.com/SonarSource/sonarqube-scan-action/releases, copiar el SHA del nuevo tag y actualizar el comentario # v6.x.y. Esto está documentado in-line en el workflow.

Test plan

  • CI verde (la action sigue ejecutando, solo cambia la forma de referirla)
  • Tras merge, SonarCloud reanaliza main y el Security Hotspot pasa a "Fixed"

Cambia el ref de @v6 (tag flotante) al commit SHA fd88b7d (v6.0.0) para
cerrar el Security Hotspot de SonarCloud (regla githubactions:S7637).

Riesgo cubierto: si SonarSource pierde control del repo de la action y
un atacante reescribe la tag v6, nuestro CI ejecutaria codigo arbitrario.
Con SHA pineado el ref es inmutable.

Trade-off: hay que renovar a mano cuando salga una version nueva. Las
actions de actions/* se dejan en @v4 porque Sonar no las flagea (son
first-party de GitHub) y pinear a SHA hace el workflow ilegible.
@vercel

vercel Bot commented May 2, 2026

Copy link
Copy Markdown

The latest updates on your projects. Learn more about Vercel for GitHub.

1 Skipped Deployment
Project Deployment Actions Updated (UTC)
gororeads Ignored Ignored May 2, 2026 9:34am

@sonarqubecloud

sonarqubecloud Bot commented May 2, 2026

Copy link
Copy Markdown

@DevOtter97 DevOtter97 merged commit 4ca3d14 into main May 2, 2026
10 of 11 checks passed
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Labels

None yet

Projects

None yet

Development

Successfully merging this pull request may close these issues.

1 participant