GitHub Actions の設定を少しよくする

Transcript

1. GitHub Actions の設定を少しよくする 2025/03/20 1

2. GitHub Actions で CI/CD を 行っている方、多いですよね？ 2

3. その設定、なんとなくで 終わっていませんか？ 3

4. この本がとても参考になります！ 4

5. GitHub CI/CD 実践ガイド 引用: https://gihyo.jp/book/2024/978-4-297-14173-8 GitHub CI/CD 実践ガイド 5

6. 気をつける内容を 知りたい場合、こちらが参考に なります！ 6

7. GitHub Actions ガイドライン セキュリティ ガイド GitHub Actions のセキュリティ強化と推奨事 項 -

   GitHub Docs 社内用 GitHub Actions のセキュリティガイドラインを公開します | メルカリエンジニアリング GitHub Actions ガイドライン 7

8. でも、ひとつずつ確認するのは 大変そう 8

9. GitHub Actions ワークフローの静的解析 actionlint 構文チェック ghalint セキュリティチェック GitHub Actions ワークフローの静的解析

   9

10. GitHub Actions ワークフローの静的解析 引用: https://zenn.dev/greendrop/articles/2024-10-14- 809b779254028d GitHub Actions ワークフローの静的解析 10

11. ここまでしなくても いいんじゃないの？ 11

12. tj-actions/changed-files の改ざんが発生 tj-actions/changed-files シークレットの内容がログへ出力するコードが追加された タグも上書きされ、すべてのバージョンに影響 アクションの指定を Git のハッシュにしておけば、改ざんの影響を 受けなかった CVE-2025-30066

    tj-actions/changed-files の改ざんが発生 12

13. まとめ GitHub Actions の設定をよりよくするため、セキュリティに気をつ けましょう 自動で少しよくできるように、静的解析ツールも活用しましょう まとめ 13

14. ご清聴ありがとうございました。 14