Upgrade to Pro — share decks privately, control downloads, hide ads and more …

GitHub Actions の設定を少しよくする

Avatar for greendrop greendrop
March 20, 2025
Technology
0
21

GitHub Actions の設定を少しよくする

Avatar for greendrop

greendrop

March 20, 2025
Tweet

More Decks by greendrop

See All by greendrop
リンクからモバイルアプリを起動する技術
Avatar for greendrop greendrop
0
9
知っててうれしい SQL について
Avatar for greendrop greendrop
0
240
知っててうれしい HTTP Cookie を使ったセッション管理について
Avatar for greendrop greendrop
1
230
知っててうれしいリレーショナルデータベースについて
Avatar for greendrop greendrop
0
200
スマホアプリエンジニアでない方へ向けた、スマホアプリ開発に関連するトピック
Avatar for greendrop greendrop
0
170
知っててうれしい HTTP について
Avatar for greendrop greendrop
0
260
知っててうれしい HTTP キャッシュについて
Avatar for greendrop greendrop
0
260
知っててうれしい HTTP Cookie について
Avatar for greendrop greendrop
0
230
知っててうれしいデータベースについて
Avatar for greendrop greendrop
0
230

Other Decks in Technology

See All in Technology
AIエージェントの開発に必須な「コンテキスト・エンジニアリング」とは何か──プロンプト・エンジニアリングとの違いを手がかりに考える
Avatar for Masaya Mori (森正弥) / CAIO (Chief AI Officer) masayamoriofficial
0
410
「守る」から「進化させる」セキュリティへ ~AWS re:Inforce 2025参加報告~ / AWS re:Inforce 2025 Participation Report
Avatar for Yuji Oshima yuj1osm
1
140
Android Studio の 新しいAI機能を試してみよう / Try out the new AI features in Android Studio
Avatar for Yuki Anzai yanzm
0
280
あなたの知らない OneDrive
Avatar for Murachi Akira murachiakira
0
240
実践アプリケーション設計 ①データモデルとドメインモデル
Avatar for Recruit recruitengineers
PRO
3
370
Postman MCP 関連機能アップデート / Postman MCP feature updates
Avatar for Yoichi Kawasaki yokawasa
1
160
TypeScript入門
Avatar for Recruit recruitengineers
PRO
23
7.4k
知られざるprops命名の慣習 アクション編
Avatar for uhyo uhyo
11
2.6k
株式会社ARAV 採用案内
Avatar for ARAV maqui
0
360
R-SCoRe: Revisiting Scene Coordinate Regression for Robust Large-Scale Visual Localization
Avatar for Takuya MINAGAWA takmin
0
430
KiroでGameDay開催してみよう(準備編)
Avatar for Yuuuuuuu yuuuuuuu168
1
140
実践アプリケーション設計 ②トランザクションスクリプトへの対応
Avatar for Recruit recruitengineers
PRO
3
390

Featured

See All Featured
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
Avatar for Eileen M. Uchitelle eileencodes
26
3k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
Avatar for Marc Duiker marcduiker
31
2.2k
Making Projects Easy
Avatar for Brett Harned brettharned
117
6.3k
Put a Button on it: Removing Barriers to Going Fast.
Avatar for kastner kastner
60
4k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
Avatar for Joe Casabona jcasabona
33
2.4k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
Avatar for Eileen M. Uchitelle eileencodes
139
34k
Dealing with People You Can't Stand - Big Design 2015
Avatar for Cassini Nazir cassininazir
367
26k
Documentation Writing (for coders)
Avatar for Carmen Chung carmenintech
73
5k
The Art of Delivering Value - GDevCon NA Keynote
Avatar for David Neal reverentgeek
15
1.6k
4 Signs Your Business is Dying
Avatar for Josh Pigford shpigford
184
22k
It's Worth the Effort
Avatar for 3n 3n
187
28k
Sharpening the Axe: The Primacy of Toolmaking
Avatar for Bryan Cantrill bcantrill
44
2.5k

Transcript

  1. GitHub Actions の設定を少しよくする 2025/03/20 1

  2. GitHub Actions で CI/CD を 行っている方、多いですよね? 2

  3. その設定、なんとなくで 終わっていませんか? 3

  4. この本がとても参考になります! 4

  5. GitHub CI/CD 実践ガイド 引用: https://gihyo.jp/book/2024/978-4-297-14173-8 GitHub CI/CD 実践ガイド 5

  6. 気をつける内容を 知りたい場合、こちらが参考に なります! 6

  7. GitHub Actions ガイドライン セキュリティ ガイド GitHub Actions のセキュリティ強化と推奨事 項 -

    GitHub Docs 社内用 GitHub Actions のセキュリティガイドラインを公開します | メルカリエンジニアリング GitHub Actions ガイドライン 7

  8. でも、ひとつずつ確認するのは 大変そう 8

  9. GitHub Actions ワークフローの静的解析 actionlint 構文チェック ghalint セキュリティチェック GitHub Actions ワークフローの静的解析

    9

  10. GitHub Actions ワークフローの静的解析 引用: https://zenn.dev/greendrop/articles/2024-10-14- 809b779254028d GitHub Actions ワークフローの静的解析 10

  11. ここまでしなくても いいんじゃないの? 11

  12. tj-actions/changed-files の改ざんが発生 tj-actions/changed-files シークレットの内容がログへ出力するコードが追加された タグも上書きされ、すべてのバージョンに影響 アクションの指定を Git のハッシュにしておけば、改ざんの影響を 受けなかった CVE-2025-30066

    tj-actions/changed-files の改ざんが発生 12

  13. まとめ GitHub Actions の設定をよりよくするため、セキュリティに気をつ けましょう 自動で少しよくできるように、静的解析ツールも活用しましょう まとめ 13

  14. ご清聴ありがとうございました。 14