Skip to content

fix: サプライチェーン攻撃対策として全GitHub ActionsをコミットSHAに固定#1

Closed
wat-shun wants to merge 1 commit intomasterfrom
work/pin-actions-to-sha
Closed

fix: サプライチェーン攻撃対策として全GitHub ActionsをコミットSHAに固定#1
wat-shun wants to merge 1 commit intomasterfrom
work/pin-actions-to-sha

Conversation

@wat-shun
Copy link
Copy Markdown

@wat-shun wat-shun commented Mar 23, 2026

trivyへの攻撃を受けて、対策としてコミットのピン留めを全アクションで導入します
(PRは各レポジトリ巡回して自動作成してるので、疑問点あれば遠慮なく突っ込んでくださいませ)

Summary

  • 全ての GitHub Actions 参照をコミットSHA固定に変更
  • サプライチェーン攻撃への恒久対策(GitHub公式推奨プラクティス)

Background

2026-03-19 に aquasecurity/trivy-action のほぼ全タグが侵害されました。

Note

  • それ以外のバージョン変更はしていません

@wat-shun @claude
fix: サプライチェーン攻撃対策として全GitHub ActionsをコミットSHAに固定
6baacb6 
Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
@wat-shun
Copy link
Copy Markdown
Author

wat-shun commented Mar 23, 2026

CI落ちてるし最終更新2020年なので対応せず

@wat-shun wat-shun closed this Mar 23, 2026
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Reviewers

No reviews

Assignees

No one assigned

Labels

None yet

Projects

None yet

Milestone

No milestone

Development

Successfully merging this pull request may close these issues.

1 participant

@wat-shun