GitHub Actions nao pinadas por SHA (risco de supply chain)

{
  "id": "INFRA-25",
  "title": "GitHub Actions nao pinadas por SHA (risco de supply chain)",
  "severity": "High",
  "type": "achado confirmado",
  "category": "infrastructure",
  "description": "Todas as actions de terceiros nos 3 workflows usam tags mutaveis (`@v4`, `@v3`) em vez de SHA fixo. Um atacante que comprometa uma action popular pode injetar codigo malicioso no pipeline.",
  "evidence": "`.github/workflows/Production.yaml`, `Homolog.yaml`, `Develop.yaml` — todas as actions usam tags mutaveis. Exemplo: `actions/checkout@v4`, `aws-actions/configure-aws-credentials@v4`.",
  "technicalImpact": "Tags mutaveis podem ser re-apontadas para commits maliciosos sem deteccao.",
  "businessImpact": "Comprometimento do pipeline de build pode resultar em implantacao de backdoors nas imagens Docker de producao.",
  "recommendation": "Fixar todas as actions por SHA completo. Exemplo: `actions/checkout@b4ffde65f46336ab88eb53be808477a3936bae11 # v4.1.1`.",
  "files": [
    ".github/workflows/Production.yaml",
    ".github/workflows/Homolog.yaml",
    ".github/workflows/Develop.yaml"
  ],
  "pass": 4,
  "relatedActions": [
    "ACT-7.2.6"
  ]
}