Use full changeset hash for 3rd-party GitHub Actions by masutaka · Pull Request #48 · route06/actions

masutaka · 2024-06-26T04:16:21Z

変更内容

サードパーティの GitHub Actions のバージョンを Full Changeset Hash での固定に変更する。

- uses: owner/action-name@v1.0.0
# ↓
- uses: owner/action-name@26968a09c0ea4f3e233fdddbafd1166051a095f6 # v1.0.0

👈 の GitHub Actions について、変更した

Action name	Verified creator	Next action
actions/checkout	✅	Verified creator なので移行しない
actions/setup-java	✅	Verified creator なので移行しない
dorny/paths-filter		移行済なので何もしない
github/codeql-action/analyze¹		Verified creator の明記はないが GitHub 製なので移行しない
github/codeql-action/autobuild¹		Verified creator の明記はないが GitHub 製なので移行しない
github/codeql-action/init¹		Verified creator の明記はないが GitHub 製なので移行しない
ls-lint/action²		移行した 👈
octokit/graphql-action	✅	Verified creator なので移行しない
reviewdog/action-actionlint		移行済なので何もしない
Songmu/tagpr		移行済なので何もしない
technote-space/assign-author		移行した 👈
tokorom/action-slack-incoming-webhook		移行した 👈

背景・目的

このリポジトリ https://github.com/route06/actions をよりセキュアにするため。

🔗 社内用GitHub Actionsのセキュリティガイドラインを公開します | メルカリエンジニアリング

サードパーティのActionを利用する場合、基本的にFull Changeset Hashに固定する。以下のようにFull Changeset Hashとバージョンコメントを記載することで、どのバージョンを使っているのかわかりやすくなる。

Dependabot

Update version comments for SHA-pinned GitHub Actions dependabot/dependabot-core#5951

Dependabot now updates comments in GitHub Actions workflows referencing action versions - The GitHub Blog

Dependabot は Full Changeset Hash に対応している³ため、Full Changeset Hash に変更するデメリットはサードパーティの GitHub Action を初めて導入する時だけ。

TODO

サードパーティの GitHub Actions のバージョン指定を full changeset hash に変更する
ADR の作成

関連情報

CI/CDでサードパーティスクリプト・バイナリを使う際の注意点 - ROUTE06 Tech Blog

GitHub Marketplace に公開されていない理由: https://github.com/github/codeql-action/issues/596#issuecomment-868569180 ↩ ↩² ↩³
GitHub Marketplace に公開されていない ↩
https://github.com/route06/actions/pull/46#discussion_r1650261916 ↩

…set Hash

…ll Changeset Hash

masutaka · 2024-06-26T04:48:23Z

.github/workflows/add_assignee_to_pr.yml


    steps:
-      - uses: technote-space/assign-author@v1
+      - uses: technote-space/assign-author@9558557c5c4816f38bd06176fbc324ba14bb3160 # v1.6.2


差分なし technote-space/assign-author@v1...9558557

masutaka · 2024-06-26T04:49:09Z

.github/workflows/my_test.yml

    steps:
      - uses: actions/checkout@v4
-      - uses: ls-lint/action@v2.2.3
+      - uses: ls-lint/action@1887e6c0e7f2dfa81a2d67591f0eb7782720026f # v2.2.3


差分なし ls-lint/action@v2.2.3...1887e6c

masutaka · 2024-06-26T04:49:48Z

.github/workflows/notify_slack_on_ci_failed.yml

        run: echo "COMMIT_MESSAGE=$COMMIT_MESSAGE" | tr '\n' ' ' >> "$GITHUB_ENV"
      - name: Notify to slack
-        uses: tokorom/action-slack-incoming-webhook@main
+        uses: tokorom/action-slack-incoming-webhook@d57bf1eb618f3dae9509afefa70d5774ad3d42bf # v1.3.0


差分なし tokorom/action-slack-incoming-webhook@main...d57bf1e

MH4GF

ADRも理解です、よさそうでした 🚀

masutaka · 2024-06-26T07:40:39Z

ありがとうございます！🚀
リリースまでやりますね。

masutaka added 3 commits June 26, 2024 12:52

Change fixed version of ls-lint/action to Full Changeset Hash

66b113d

Change fixed version of technote-space/assign-author to Full Change…

147a4a8

…set Hash

Change fixed version of tokorom/action-slack-incoming-webhook to Fu…

e2790fd

…ll Changeset Hash

github-actions bot assigned masutaka Jun 26, 2024

ADR 作成「5. サードパーティのGitHub ActionsのバージョンをFull Changeset Hashで固定する」

26496a7

masutaka commented Jun 26, 2024

View reviewed changes

masutaka marked this pull request as ready for review June 26, 2024 04:50

masutaka requested a review from a team as a code owner June 26, 2024 04:50

masutaka added the documentation Improvements or additions to documentation label Jun 26, 2024

MH4GF approved these changes Jun 26, 2024

View reviewed changes

masutaka added this pull request to the merge queue Jun 26, 2024

Merged via the queue into main with commit c8efc2b Jun 26, 2024

masutaka deleted the use-full-changeset-hash branch June 26, 2024 07:41

github-actions bot mentioned this pull request Jun 26, 2024

Release for v2.1.7 #47

Merged

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

Use full changeset hash for 3rd-party GitHub Actions#48

Use full changeset hash for 3rd-party GitHub Actions#48
masutaka merged 4 commits intomainfrom
use-full-changeset-hash

masutaka commented Jun 26, 2024 •

edited

Loading

Uh oh!

masutaka Jun 26, 2024

Uh oh!

masutaka Jun 26, 2024

Uh oh!

masutaka Jun 26, 2024

Uh oh!

MH4GF left a comment

Uh oh!

masutaka commented Jun 26, 2024

Uh oh!

Reviewers

Assignees

Labels

Projects

Milestone

Development

Uh oh!

2 participants

Conversation

masutaka commented Jun 26, 2024 • edited Loading Uh oh! There was an error while loading. Please reload this page.

Uh oh!

変更内容

背景・目的

TODO

関連情報

Footnotes

Uh oh!

masutaka Jun 26, 2024

Choose a reason for hiding this comment

Uh oh!

masutaka Jun 26, 2024

Choose a reason for hiding this comment

Uh oh!

masutaka Jun 26, 2024

Choose a reason for hiding this comment

Uh oh!

MH4GF left a comment

Choose a reason for hiding this comment

Uh oh!

masutaka commented Jun 26, 2024

Uh oh!

Reviewers

Assignees

Labels

Projects

Milestone

Development

Uh oh!

2 participants

masutaka commented Jun 26, 2024 •

edited

Loading