Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
GitHub Actions の設定を少しよくする
Search
greendrop
March 20, 2025
Technology
0
23
GitHub Actions の設定を少しよくする
greendrop
March 20, 2025
Tweet
Share
More Decks by greendrop
See All by greendrop
リンクからモバイルアプリを起動する技術
greendrop
0
11
知っててうれしい SQL について
greendrop
0
250
知っててうれしい HTTP Cookie を使ったセッション管理について
greendrop
1
250
知っててうれしいリレーショナルデータベースについて
greendrop
0
210
スマホアプリエンジニアでない方へ向けた、スマホアプリ開発に関連するトピック
greendrop
0
180
知っててうれしい HTTP について
greendrop
0
270
知っててうれしい HTTP キャッシュについて
greendrop
0
270
知っててうれしい HTTP Cookie について
greendrop
0
250
知っててうれしいデータベースについて
greendrop
0
250
Other Decks in Technology
See All in Technology
生成AIとM5Stack / M5 Japan Tour 2025 Autumn 東京
you
PRO
0
240
オープンソースでどこまでできる?フォーマル検証チャレンジ
msyksphinz
0
120
【Kaigi on Rails 事後勉強会LT】MeはどうしてGirlsに? 私とRubyを繋いだRail(s)
joyfrommasara
0
170
ガバメントクラウド(AWS)へのデータ移行戦略の立て方【虎の巻】 / 20251011 Mitsutosi Matsuo
shift_evolve
PRO
2
170
SoccerNet GSRの紹介と技術応用:選手視点映像を提供するサッカー作戦盤ツール
mixi_engineers
PRO
1
190
Escaping_the_Kraken_-_October_2025.pdf
mdalmijn
0
150
社内お問い合わせBotの仕組みと学び
nish01
1
510
三菱電機・ソニーグループ共同の「Agile Japan企業内サテライト」_2025
sony
0
100
20201008_ファインディ_品質意識を育てる役目は人かAIか___2_.pdf
findy_eventslides
2
560
PLaMoの事後学習を支える技術 / PFN LLMセミナー
pfn
PRO
9
4k
KMP の Swift export
kokihirokawa
0
340
Optuna DashboardにおけるPLaMo2連携機能の紹介 / PFN LLM セミナー
pfn
PRO
2
920
Featured
See All Featured
Building Applications with DynamoDB
mza
96
6.7k
Product Roadmaps are Hard
iamctodd
PRO
54
11k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
26
3.1k
GitHub's CSS Performance
jonrohan
1032
470k
Thoughts on Productivity
jonyablonski
70
4.9k
How GitHub (no longer) Works
holman
315
140k
Rebuilding a faster, lazier Slack
samanthasiow
84
9.2k
A Tale of Four Properties
chriscoyier
160
23k
Building Flexible Design Systems
yeseniaperezcruz
329
39k
GraphQLとの向き合い方2022年版
quramy
49
14k
Code Review Best Practice
trishagee
72
19k
Fashionably flexible responsive web design (full day workshop)
malarkey
407
66k
Transcript
GitHub Actions の設定を少しよくする 2025/03/20 1
GitHub Actions で CI/CD を 行っている方、多いですよね? 2
その設定、なんとなくで 終わっていませんか? 3
この本がとても参考になります! 4
GitHub CI/CD 実践ガイド 引用: https://gihyo.jp/book/2024/978-4-297-14173-8 GitHub CI/CD 実践ガイド 5
気をつける内容を 知りたい場合、こちらが参考に なります! 6
GitHub Actions ガイドライン セキュリティ ガイド GitHub Actions のセキュリティ強化と推奨事 項 -
GitHub Docs 社内用 GitHub Actions のセキュリティガイドラインを公開します | メルカリエンジニアリング GitHub Actions ガイドライン 7
でも、ひとつずつ確認するのは 大変そう 8
GitHub Actions ワークフローの静的解析 actionlint 構文チェック ghalint セキュリティチェック GitHub Actions ワークフローの静的解析
9
GitHub Actions ワークフローの静的解析 引用: https://zenn.dev/greendrop/articles/2024-10-14- 809b779254028d GitHub Actions ワークフローの静的解析 10
ここまでしなくても いいんじゃないの? 11
tj-actions/changed-files の改ざんが発生 tj-actions/changed-files シークレットの内容がログへ出力するコードが追加された タグも上書きされ、すべてのバージョンに影響 アクションの指定を Git のハッシュにしておけば、改ざんの影響を 受けなかった CVE-2025-30066
tj-actions/changed-files の改ざんが発生 12
まとめ GitHub Actions の設定をよりよくするため、セキュリティに気をつ けましょう 自動で少しよくできるように、静的解析ツールも活用しましょう まとめ 13
ご清聴ありがとうございました。 14
greendrop
you
msyksphinz
joyfrommasara
shift_evolve
mixi_engineers
.jpg){kind=avatar}
mdalmijn
nish01
sony
findy_eventslides
pfn
kokihirokawa
mza
iamctodd
eileencodes
jonrohan
jonyablonski
holman
samanthasiow
chriscoyier
yeseniaperezcruz
quramy
trishagee
malarkey
