Upgrade to Pro — share decks privately, control downloads, hide ads and more …

GitHub Actions の設定を少しよくする

Sponsored · SiteGround - Reliable hosting with speed, security, and support you can count on.
Avatar for greendrop greendrop
March 20, 2025
Technology
0
28

GitHub Actions の設定を少しよくする

Avatar for greendrop

greendrop

March 20, 2025
Tweet

More Decks by greendrop

See All by greendrop
リンクからモバイルアプリを起動する技術
Avatar for greendrop greendrop
0
15
知っててうれしい SQL について
Avatar for greendrop greendrop
0
290
知っててうれしい HTTP Cookie を使ったセッション管理について
Avatar for greendrop greendrop
1
290
知っててうれしいリレーショナルデータベースについて
Avatar for greendrop greendrop
0
250
スマホアプリエンジニアでない方へ向けた、スマホアプリ開発に関連するトピック
Avatar for greendrop greendrop
0
210
知っててうれしい HTTP について
Avatar for greendrop greendrop
0
310
知っててうれしい HTTP キャッシュについて
Avatar for greendrop greendrop
0
330
知っててうれしい HTTP Cookie について
Avatar for greendrop greendrop
0
290
知っててうれしいデータベースについて
Avatar for greendrop greendrop
0
290

Other Decks in Technology

See All in Technology
DX Improvement at Scale
Avatar for ntk1000 ntk1000
3
450
IBM Bobを使って、PostgreSQLのToDoアプリをDb2へ変換してみよう/202603_Dojo_Bob
Avatar for Mayumi Hirano mayumihirano
1
290
EMからICへ、二周目人材としてAI全振りのプロダクト開発で見つけた武器
Avatar for Yuji Yamaguchi yug1224
5
510
越境する組織づくり ─ 多様性を前提にしたチームビルディングとリードの実践知
Avatar for hrpnx kido_engineer
2
160
AIファーストを前提とした開発スタイルの変化
Avatar for SoftBank Tech Night sbtechnight
0
270
JAWS FESTA 2025でリリースしたほぼリアルタイム文字起こし/翻訳機能の構成について
Avatar for 木村直紀 naoki8408
1
200
Agentic Software Modernization - Back to the Roots (Zürich Agentic Coding and Architectures, März 2026)
Avatar for Markus Harrer feststelltaste
1
230
開発組織の課題解決を加速するための権限委譲 -する側、される側としての向き合い方-
Avatar for daitasu daitasu
5
450
トップマネジメントとコンピテンシーから考えるエンジニアリングマネジメント
Avatar for Toru Yamaguchi a.k.a zigorou zigorou
4
810
型を書かないRuby開発への挑戦
Avatar for Shia riseshia
0
210
Security Diaries of an Open Source IAM
Avatar for Alexander Schwartz ahus1
0
210
vLLM Community Meetup Tokyo #3 オープニングトーク
Avatar for jpishikawa jpishikawa
0
250

Featured

See All Featured
SEO in 2025: How to Prepare for the Future of Search
Avatar for Michael King ipullrank
3
3.4k
Bootstrapping a Software Product
Avatar for Garrett Dimon garrettdimon
PRO
307
120k
Sharpening the Axe: The Primacy of Toolmaking
Avatar for Bryan Cantrill bcantrill
46
2.7k
Getting science done with accelerated Python computing platforms
Avatar for Jacob Tomlinson jacobtomlinson
2
140
Discover your Explorer Soul
Avatar for Emna emna__ayadi
2
1.1k
How to Think Like a Performance Engineer
Avatar for Harry Roberts csswizardry
28
2.5k
The State of eCommerce SEO: How to Win in Today's Products SERPs - #SEOweek
Avatar for Aleyda Solis aleyda
2
9.8k
Embracing the Ebb and Flow
Avatar for Simon Collison colly
88
5k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
38
2.8k
Color Theory Basics | Prateek | Gurzu
Avatar for Gurzu gurzu
0
240
How to optimise 3,500 product descriptions for ecommerce in one day using ChatGPT
Avatar for Katarina Dahlin katarinadahlin
PRO
1
3.5k
Primal Persuasion: How to Engage the Brain for Learning That Lasts
Avatar for Mike Taylor tmiket
0
290

Transcript

  1. GitHub Actions の設定を少しよくする 2025/03/20 1

  2. GitHub Actions で CI/CD を 行っている方、多いですよね? 2

  3. その設定、なんとなくで 終わっていませんか? 3

  4. この本がとても参考になります! 4

  5. GitHub CI/CD 実践ガイド 引用: https://gihyo.jp/book/2024/978-4-297-14173-8 GitHub CI/CD 実践ガイド 5

  6. 気をつける内容を 知りたい場合、こちらが参考に なります! 6

  7. GitHub Actions ガイドライン セキュリティ ガイド GitHub Actions のセキュリティ強化と推奨事 項 -

    GitHub Docs 社内用 GitHub Actions のセキュリティガイドラインを公開します | メルカリエンジニアリング GitHub Actions ガイドライン 7

  8. でも、ひとつずつ確認するのは 大変そう 8

  9. GitHub Actions ワークフローの静的解析 actionlint 構文チェック ghalint セキュリティチェック GitHub Actions ワークフローの静的解析

    9

  10. GitHub Actions ワークフローの静的解析 引用: https://zenn.dev/greendrop/articles/2024-10-14- 809b779254028d GitHub Actions ワークフローの静的解析 10

  11. ここまでしなくても いいんじゃないの? 11

  12. tj-actions/changed-files の改ざんが発生 tj-actions/changed-files シークレットの内容がログへ出力するコードが追加された タグも上書きされ、すべてのバージョンに影響 アクションの指定を Git のハッシュにしておけば、改ざんの影響を 受けなかった CVE-2025-30066

    tj-actions/changed-files の改ざんが発生 12

  13. まとめ GitHub Actions の設定をよりよくするため、セキュリティに気をつ けましょう 自動で少しよくできるように、静的解析ツールも活用しましょう まとめ 13

  14. ご清聴ありがとうございました。 14