Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
GitHub Actions の設定を少しよくする
Search
greendrop
March 20, 2025
Technology
0
23
GitHub Actions の設定を少しよくする
greendrop
March 20, 2025
Tweet
Share
More Decks by greendrop
See All by greendrop
リンクからモバイルアプリを起動する技術
greendrop
0
11
知っててうれしい SQL について
greendrop
0
250
知っててうれしい HTTP Cookie を使ったセッション管理について
greendrop
1
250
知っててうれしいリレーショナルデータベースについて
greendrop
0
210
スマホアプリエンジニアでない方へ向けた、スマホアプリ開発に関連するトピック
greendrop
0
180
知っててうれしい HTTP について
greendrop
0
270
知っててうれしい HTTP キャッシュについて
greendrop
0
280
知っててうれしい HTTP Cookie について
greendrop
0
250
知っててうれしいデータベースについて
greendrop
0
260
Other Decks in Technology
See All in Technology
Amazon Q Developer CLIをClaude Codeから使うためのベストプラクティスを考えてみた
dar_kuma_san
0
230
「タコピーの原罪」から学ぶ間違った”支援” / the bad support of Takopii
piyonakajima
0
160
AIでデータ活用を加速させる取り組み / Leveraging AI to accelerate data utilization
okiyuki99
6
1.5k
Raycast AI APIを使ってちょっと便利なAI拡張機能を作ってみた
kawamataryo
0
220
仕様駆動開発を実現する上流工程におけるAIエージェント活用
sergicalsix
10
4.8k
[Journal club] Thinking in Space: How Multimodal Large Language Models See, Remember, and Recall Spaces
keio_smilab
PRO
0
100
[re:Inent2025事前勉強会(有志で開催)] re:Inventで見つけた人生をちょっと変えるコツ
sh_fk2
1
1k
組織全員で向き合うAI Readyなデータ利活用
gappy50
5
1.9k
GPUをつかってベクトル検索を 扱う手法のお話し ~NVIDIA cuVSとCAGRA~
fshuhe
0
290
AI連携の新常識! 話題のMCPをはじめて学ぶ!
makoakiba
0
160
OTEPsで知るOpenTelemetryの未来 / Observability Conference Tokyo 2025
arthur1
0
350
プロファイルとAIエージェントによる効率的なデバッグ / Effective debugging with profiler and AI assistant
ymotongpoo
1
610
Featured
See All Featured
Typedesign – Prime Four
hannesfritz
42
2.8k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
46
2.5k
Speed Design
sergeychernyshev
32
1.2k
No one is an island. Learnings from fostering a developers community.
thoeni
21
3.5k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
31
9.7k
Documentation Writing (for coders)
carmenintech
75
5.1k
4 Signs Your Business is Dying
shpigford
186
22k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
10
900
Automating Front-end Workflow
addyosmani
1371
200k
RailsConf 2023
tenderlove
30
1.3k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
285
14k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
230
22k
Transcript
GitHub Actions の設定を少しよくする 2025/03/20 1
GitHub Actions で CI/CD を 行っている方、多いですよね? 2
その設定、なんとなくで 終わっていませんか? 3
この本がとても参考になります! 4
GitHub CI/CD 実践ガイド 引用: https://gihyo.jp/book/2024/978-4-297-14173-8 GitHub CI/CD 実践ガイド 5
気をつける内容を 知りたい場合、こちらが参考に なります! 6
GitHub Actions ガイドライン セキュリティ ガイド GitHub Actions のセキュリティ強化と推奨事 項 -
GitHub Docs 社内用 GitHub Actions のセキュリティガイドラインを公開します | メルカリエンジニアリング GitHub Actions ガイドライン 7
でも、ひとつずつ確認するのは 大変そう 8
GitHub Actions ワークフローの静的解析 actionlint 構文チェック ghalint セキュリティチェック GitHub Actions ワークフローの静的解析
9
GitHub Actions ワークフローの静的解析 引用: https://zenn.dev/greendrop/articles/2024-10-14- 809b779254028d GitHub Actions ワークフローの静的解析 10
ここまでしなくても いいんじゃないの? 11
tj-actions/changed-files の改ざんが発生 tj-actions/changed-files シークレットの内容がログへ出力するコードが追加された タグも上書きされ、すべてのバージョンに影響 アクションの指定を Git のハッシュにしておけば、改ざんの影響を 受けなかった CVE-2025-30066
tj-actions/changed-files の改ざんが発生 12
まとめ GitHub Actions の設定をよりよくするため、セキュリティに気をつ けましょう 自動で少しよくできるように、静的解析ツールも活用しましょう まとめ 13
ご清聴ありがとうございました。 14
greendrop
dar_kuma_san
piyonakajima
okiyuki99
kawamataryo
sergicalsix
keio_smilab
sh_fk2
gappy50
fshuhe
makoakiba
.jpeg){kind=avatar}
arthur1
ymotongpoo
hannesfritz
bcantrill
sergeychernyshev
thoeni
eileencodes
carmenintech
shpigford
tammyeverts
addyosmani
tenderlove
stephaniewalter
danielanewman
