Skip to content

chore: GitHub Actions を SHA でピン固定#2

Open
camelmasa wants to merge 1 commit into
unstablefrom
chore/pin-github-actions
Open

chore: GitHub Actions を SHA でピン固定#2
camelmasa wants to merge 1 commit into
unstablefrom
chore/pin-github-actions

Conversation

@camelmasa

Copy link
Copy Markdown
Member

概要

  • GitHub Actions の uses: 参照をコミット SHA でピン固定し、サプライチェーン攻撃のリスクを軽減

変更されたアクション

  • actions/cache@v1actions/cache@f5ce41475b483ad7581884324a6eca9f48f8dcc7
  • actions/checkout@v3actions/checkout@f43a0e5ff2bd294095638e18286ca9a3d1956744
  • actions/setup-node@v3actions/setup-node@3235b876344d2a9aa001b8d1453c930bba69e610
  • changesets/action@v1changesets/action@6a0a831ff30acef54f2c6aa1cbbc1096b066edaf
  • mskelton/changelog-reminder-action@v2mskelton/changelog-reminder-action@7039cd14fb784c0a2b37f6e7a6ade2c9148c2245
  • octokit/request-action@v2.xoctokit/request-action@02f5e7c637a73a3b12ed81015fa7fb5f11cc5d7d
  • peter-evans/create-pull-request@v5peter-evans/create-pull-request@4e1beaa7521e8b457b572c090b25bd3db56bf1c5
  • Shopify/shopify-cla-action@v1Shopify/shopify-cla-action@9938f4b43524d1cfa7471ce9a803edf226697284
  • Shopify/snapit@mainShopify/snapit@efd7ad2bbc01ba82ac9a8495eb49b3a8eed0d9b9

理由

タグやブランチ参照の GitHub Actions は、上流のリポジトリが侵害された場合に
悪意のあるコードが実行されるリスクがあります(例:tj-actions/changed-files、
codecov/codecov-action の事例)。
SHA でピン固定することで、検証済みの正確なコミットが使用されることを保証します。

注意

  • 各 SHA の横にコメントで元のタグを記載しています(例:# v4
  • アクションの更新時はタグと SHA の両方を更新してください

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Labels

None yet

Projects

None yet

Development

Successfully merging this pull request may close these issues.

1 participant