Upgrade to Pro — share decks privately, control downloads, hide ads and more …

GitHub Actions の設定を少しよくする

Avatar for greendrop greendrop
March 20, 2025
Technology
31
0

GitHub Actions の設定を少しよくする

Avatar for greendrop

greendrop

March 20, 2025

More Decks by greendrop

See All by greendrop
リンクからモバイルアプリを起動する技術
Avatar for greendrop greendrop
0
17
知っててうれしい SQL について
Avatar for greendrop greendrop
0
290
知っててうれしい HTTP Cookie を使ったセッション管理について
Avatar for greendrop greendrop
1
290
知っててうれしいリレーショナルデータベースについて
Avatar for greendrop greendrop
0
250
スマホアプリエンジニアでない方へ向けた、スマホアプリ開発に関連するトピック
Avatar for greendrop greendrop
0
220
知っててうれしい HTTP について
Avatar for greendrop greendrop
0
310
知っててうれしい HTTP キャッシュについて
Avatar for greendrop greendrop
0
350
知っててうれしい HTTP Cookie について
Avatar for greendrop greendrop
0
290
知っててうれしいデータベースについて
Avatar for greendrop greendrop
0
300

Other Decks in Technology

See All in Technology
JAWS DAYS 2026でAIの「もやっと」感が解消された話
Avatar for Makky12 smt7174
1
120
Kubernetesの「隠れメモリ消費」によるNode共倒れと、Request適正化という処方箋
Avatar for g0xu g0xu
0
170
AIエージェント時代に必要な オペレーションマネージャーのロールとは
Avatar for KentaroFujii kentarofujii
0
230
FlutterでPiP再生を実装した話
Avatar for 白井翔大 s9a17
0
240
昔話で振り返るAWSの歩み ~S3誕生から20年、クラウドはどう進化したのか~
Avatar for NRI Netcom nrinetcom
PRO
0
120
Oracle Cloud Infrastructure:2026年3月度サービス・アップデート
Avatar for oracle4engineer oracle4engineer
PRO
0
220
Oracle AI Database@Google Cloud:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
5
1.3k
AIにより大幅に強化された AWS Transform Customを触ってみる
Avatar for arap / 0air 0air
0
230
Amazon Qはアマコネで頑張っています〜 Amazon Q in Connectについて〜
Avatar for Yuuki Yamashita yama3133
1
170
Move Fast and Break Things: 10 in 20
Avatar for Rami McCarthy ramimac
0
110
LLMに何を任せ、何を任せないか
Avatar for an cap120
11
6.7k
How to install a gem
Avatar for André Arko indirect
0
2k

Featured

See All Featured
Between Models and Reality
Avatar for mayunak mayunak
2
250
The Straight Up "How To Draw Better" Workshop
Avatar for Dennis Kardys denniskardys
239
140k
Design of three-dimensional binary manipulators for pick-and-place task avoiding obstacles (IECON2024)
Avatar for konakalab konakalab
0
390
Ecommerce SEO: The Keys for Success Now & Beyond - #SERPConf2024
Avatar for Aleyda Solis aleyda
1
1.9k
How To Speak Unicorn (iThemes Webinar)
Avatar for Michelle Schulp Hunt marktimemedia
1
420
AI: The stuff that nobody shows you
Avatar for John Nunemaker jnunemaker
PRO
4
500
Designing for Performance
Avatar for Lara Hogan lara
611
70k
Navigating Algorithm Shifts & AI Overviews - #SMXNext
Avatar for Aleyda Solis aleyda
1
1.2k
How to audit for AI Accessibility on your Front & Back End
Avatar for davetheseo davetheseo
0
230
SEO in 2025: How to Prepare for the Future of Search
Avatar for Michael King ipullrank
3
3.4k
Designing Experiences People Love
Avatar for Jonathan Moore moore
143
24k
Believing is Seeing
Avatar for Spiro Bolos oripsolob
1
100

Transcript

  1. GitHub Actions の設定を少しよくする 2025/03/20 1

  2. GitHub Actions で CI/CD を 行っている方、多いですよね? 2

  3. その設定、なんとなくで 終わっていませんか? 3

  4. この本がとても参考になります! 4

  5. GitHub CI/CD 実践ガイド 引用: https://gihyo.jp/book/2024/978-4-297-14173-8 GitHub CI/CD 実践ガイド 5

  6. 気をつける内容を 知りたい場合、こちらが参考に なります! 6

  7. GitHub Actions ガイドライン セキュリティ ガイド GitHub Actions のセキュリティ強化と推奨事 項 -

    GitHub Docs 社内用 GitHub Actions のセキュリティガイドラインを公開します | メルカリエンジニアリング GitHub Actions ガイドライン 7

  8. でも、ひとつずつ確認するのは 大変そう 8

  9. GitHub Actions ワークフローの静的解析 actionlint 構文チェック ghalint セキュリティチェック GitHub Actions ワークフローの静的解析

    9

  10. GitHub Actions ワークフローの静的解析 引用: https://zenn.dev/greendrop/articles/2024-10-14- 809b779254028d GitHub Actions ワークフローの静的解析 10

  11. ここまでしなくても いいんじゃないの? 11

  12. tj-actions/changed-files の改ざんが発生 tj-actions/changed-files シークレットの内容がログへ出力するコードが追加された タグも上書きされ、すべてのバージョンに影響 アクションの指定を Git のハッシュにしておけば、改ざんの影響を 受けなかった CVE-2025-30066

    tj-actions/changed-files の改ざんが発生 12

  13. まとめ GitHub Actions の設定をよりよくするため、セキュリティに気をつ けましょう 自動で少しよくできるように、静的解析ツールも活用しましょう まとめ 13

  14. ご清聴ありがとうございました。 14