Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
GitHub Actions の設定を少しよくする
Search
greendrop
March 20, 2025
Technology
0
23
GitHub Actions の設定を少しよくする
greendrop
March 20, 2025
Tweet
Share
More Decks by greendrop
See All by greendrop
リンクからモバイルアプリを起動する技術
greendrop
0
11
知っててうれしい SQL について
greendrop
0
260
知っててうれしい HTTP Cookie を使ったセッション管理について
greendrop
1
260
知っててうれしいリレーショナルデータベースについて
greendrop
0
220
スマホアプリエンジニアでない方へ向けた、スマホアプリ開発に関連するトピック
greendrop
0
190
知っててうれしい HTTP について
greendrop
0
280
知っててうれしい HTTP キャッシュについて
greendrop
0
280
知っててうれしい HTTP Cookie について
greendrop
0
260
知っててうれしいデータベースについて
greendrop
0
260
Other Decks in Technology
See All in Technology
AIエージェントは「使う」だけじゃなくて「作る」時代! 〜最新フレームワークで楽しく開発入門しよう〜
minorun365
PRO
6
1k
ソフトウェア品質を支える テストとレビュー再考 / 吉澤 智美さん
findy_eventslides
0
320
龍昌餃子で理解するWebサーバーの並行処理モデル - 東葛.dev #9
kozy4324
1
110
累計5000万DLサービスの裏側 – LINEマンガのKotlinで挑む大規模 Server-side ETLの最適化
ldf_tech
0
190
文字列操作の達人になる ~ Kotlinの文字列の便利な世界 ~ - Kotlin fest 2025
tomorrowkey
2
510
The Twin Mandate of Observability
charity
1
390
Mackerelにおけるインシデント対応とポストモーテム - 現場での工夫と学び
taxin
0
110
InsightX 会社説明資料/ Company deck
insightx
0
200
進化する大規模言語モデル評価: Swallowプロジェクトにおける実践と知見
chokkan
PRO
3
470
Spec Driven Development入門/spec_driven_development_for_learners
hanhan1978
1
690
[Journal club] Thinking in Space: How Multimodal Large Language Models See, Remember, and Recall Spaces
keio_smilab
PRO
0
120
Kotlinで型安全にバイテンポラルデータを扱いたい! ReladomoラッパーをAIと実装してみた話
itohiro73
3
260
Featured
See All Featured
GraphQLの誤解/rethinking-graphql
sonatard
73
11k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
359
30k
Mobile First: as difficult as doing things right
swwweet
225
10k
Imperfection Machines: The Place of Print at Facebook
scottboms
269
13k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
132
19k
Into the Great Unknown - MozCon
thekraken
40
2.1k
Building a Scalable Design System with Sketch
lauravandoore
463
33k
How Fast Is Fast Enough? [PerfNow 2025]
tammyeverts
2
270
Intergalactic Javascript Robots from Outer Space
tanoku
273
27k
KATA
mclloyd
PRO
32
15k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
31
2.9k
Connecting the Dots Between Site Speed, User Experience & Your Business [WebExpo 2025]
tammyeverts
10
640
Transcript
GitHub Actions の設定を少しよくする 2025/03/20 1
GitHub Actions で CI/CD を 行っている方、多いですよね? 2
その設定、なんとなくで 終わっていませんか? 3
この本がとても参考になります! 4
GitHub CI/CD 実践ガイド 引用: https://gihyo.jp/book/2024/978-4-297-14173-8 GitHub CI/CD 実践ガイド 5
気をつける内容を 知りたい場合、こちらが参考に なります! 6
GitHub Actions ガイドライン セキュリティ ガイド GitHub Actions のセキュリティ強化と推奨事 項 -
GitHub Docs 社内用 GitHub Actions のセキュリティガイドラインを公開します | メルカリエンジニアリング GitHub Actions ガイドライン 7
でも、ひとつずつ確認するのは 大変そう 8
GitHub Actions ワークフローの静的解析 actionlint 構文チェック ghalint セキュリティチェック GitHub Actions ワークフローの静的解析
9
GitHub Actions ワークフローの静的解析 引用: https://zenn.dev/greendrop/articles/2024-10-14- 809b779254028d GitHub Actions ワークフローの静的解析 10
ここまでしなくても いいんじゃないの? 11
tj-actions/changed-files の改ざんが発生 tj-actions/changed-files シークレットの内容がログへ出力するコードが追加された タグも上書きされ、すべてのバージョンに影響 アクションの指定を Git のハッシュにしておけば、改ざんの影響を 受けなかった CVE-2025-30066
tj-actions/changed-files の改ざんが発生 12
まとめ GitHub Actions の設定をよりよくするため、セキュリティに気をつ けましょう 自動で少しよくできるように、静的解析ツールも活用しましょう まとめ 13
ご清聴ありがとうございました。 14
greendrop
minorun365
findy_eventslides
kozy4324
ldf_tech
tomorrowkey
charity
taxin
insightx
chokkan
hanhan1978
keio_smilab
itohiro73
sonatard
bermonpainter
swwweet
scottboms
morganepeng
thekraken
lauravandoore
tammyeverts
tanoku
mclloyd
danielanewman
