Skip to content
This repository was archived by the owner on Apr 1, 2026. It is now read-only.

GitHub Actionsのaction参照をSHAハッシュでピン留め#1

Closed
mpg-tomohiko-mimura wants to merge 1 commit intomasterfrom
pin-github-actions-sha
Closed

GitHub Actionsのaction参照をSHAハッシュでピン留め#1
mpg-tomohiko-mimura wants to merge 1 commit intomasterfrom
pin-github-actions-sha

Conversation

@mpg-tomohiko-mimura
Copy link
Copy Markdown

@mpg-tomohiko-mimura mpg-tomohiko-mimura commented Mar 25, 2026

Summary

  • セキュリティ向上のため、GitHub Actionsのworkflowファイルで使用しているactionの参照をタグ指定からSHAハッシュ指定に変更
  • pinact run を使用して自動変換を実施

Why

タグはリポジトリオーナーによって書き換え可能なため、サプライチェーン攻撃のリスクがあります。SHAハッシュでピン留めすることで、意図しないコード変更を防ぎます。

Test plan

  • 各workflowが正常に動作すること(既存のactionバージョンと同一コミットを指しているため、動作に変更なし)

🤖 Generated with Claude Code

@mpg-tomohiko-mimura @claude
GitHub Actionsのaction参照をSHAハッシュでピン留め
30e567c 
セキュリティ向上のため、workflowファイルで使用しているactionの参照をタグ指定からSHAハッシュ指定に変更する。
pinactを使用して自動変換を行った。

Co-Authored-By: Claude Opus 4.6 (1M context) <[email protected]>
@mpg-tomohiko-mimura
Copy link
Copy Markdown
Author

mpg-tomohiko-mimura commented Mar 25, 2026

@mpg-guan-wang
https://mdpr.backlog.com/view/DEVELOP-327 に名前があったので適当にメンションです

本リポジトリ参照されているか分かりますか?

@mpg-guan-wang
Copy link
Copy Markdown

mpg-guan-wang commented Mar 25, 2026

@mpg-guan-wang https://mdpr.backlog.com/view/DEVELOP-327 に名前があったので適当にメンションです

本リポジトリ参照されているか分かりますか?

@mpg-tomohiko-mimura 一応歩数系で使ったライブラリーです。更新はしないと思うので、アーカイブリストに追記します

Sign up for free to subscribe to this conversation on GitHub. Already have an account? Sign in.

Reviewers

No reviews

Assignees

No one assigned

Labels

None yet

Projects

None yet

Milestone

No milestone

Development

Successfully merging this pull request may close these issues.

2 participants

@mpg-tomohiko-mimura @mpg-guan-wang