From 60e4feacbccff01ff707dea9a7d654f922fd323e Mon Sep 17 00:00:00 2001 From: "github-actions[bot]" Date: Wed, 8 Jul 2026 02:14:04 +0000 Subject: [PATCH] =?UTF-8?q?Add=20scrap=20from=20RSS:=20GitHub=20Actions?= =?UTF-8?q?=E3=81=AE=E8=84=86=E5=BC=B1=E3=81=AA=E6=A7=8B=E6=88=90=E3=81=AE?= =?UTF-8?q?=E6=A4=9C=E7=9F=A5=E3=83=84=E3=83=BC=E3=83=AB=E3=80=81=E4=BB=BB?= =?UTF-8?q?=E3=81=9B=E3=82=89=E3=82=8C=E3=82=8B=E7=AF=84=E5=9B=B2=E3=81=A8?= =?UTF-8?q?=E4=BA=BA=E3=81=8C=E8=A6=8B=E6=A5=B5=E3=82=81=E3=82=8B=E3=81=B9?= =?UTF-8?q?=E3=81=8D=E3=83=AA=E3=82=B9=E3=82=AF?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- ...\201\215\343\203\252\343\202\271\343\202\257.md" | 13 +++++++++++++ 1 file changed, 13 insertions(+) create mode 100644 "scraps/GitHub Actions\343\201\256\350\204\206\345\274\261\343\201\252\346\247\213\346\210\220\343\201\256\346\244\234\347\237\245\343\203\204\343\203\274\343\203\253\343\200\201\344\273\273\343\201\233\343\202\211\343\202\214\343\202\213\347\257\204\345\233\262\343\201\250\344\272\272\343\201\214\350\246\213\346\245\265\343\202\201\343\202\213\343\201\271\343\201\215\343\203\252\343\202\271\343\202\257.md" diff --git "a/scraps/GitHub Actions\343\201\256\350\204\206\345\274\261\343\201\252\346\247\213\346\210\220\343\201\256\346\244\234\347\237\245\343\203\204\343\203\274\343\203\253\343\200\201\344\273\273\343\201\233\343\202\211\343\202\214\343\202\213\347\257\204\345\233\262\343\201\250\344\272\272\343\201\214\350\246\213\346\245\265\343\202\201\343\202\213\343\201\271\343\201\215\343\203\252\343\202\271\343\202\257.md" "b/scraps/GitHub Actions\343\201\256\350\204\206\345\274\261\343\201\252\346\247\213\346\210\220\343\201\256\346\244\234\347\237\245\343\203\204\343\203\274\343\203\253\343\200\201\344\273\273\343\201\233\343\202\211\343\202\214\343\202\213\347\257\204\345\233\262\343\201\250\344\272\272\343\201\214\350\246\213\346\245\265\343\202\201\343\202\213\343\201\271\343\201\215\343\203\252\343\202\271\343\202\257.md" new file mode 100644 index 00000000..905287d6 --- /dev/null +++ "b/scraps/GitHub Actions\343\201\256\350\204\206\345\274\261\343\201\252\346\247\213\346\210\220\343\201\256\346\244\234\347\237\245\343\203\204\343\203\274\343\203\253\343\200\201\344\273\273\343\201\233\343\202\211\343\202\214\343\202\213\347\257\204\345\233\262\343\201\250\344\272\272\343\201\214\350\246\213\346\245\265\343\202\201\343\202\213\343\201\271\343\201\215\343\203\252\343\202\271\343\202\257.md" @@ -0,0 +1,13 @@ +#[[Security]] #[[Continuous Integration]] + +[[GitHub Actions]] ワークフロー脆弱性の検知ツール比較と、ツールに任せられる範囲・人が見極めるべきリスクを整理した Flatt Security ブログ記事(シリーズ Vol.4 最終回) + +- **ツールが検知できる**: Script Injection・外部 Action のピン留め未使用・過剰な権限設定(YAML から確定できるパターン)を5ツール(CodeQL・[[zizmor]]・OpenSSF Scorecard・poutine・checkov)が横断的に報告 +- **ツールが見えない**: Classic [[PAT]] 使用・Immutable Releases 未使用・Environments 保護の設計意図・AI エージェント固有パラメータ(`allowed_non_write_users: "*"` 等)はどのツールも検知しない +- **トリアージの課題**: 数百件規模の検知が積み上がりやすく、Severity はカテゴリ固定で組織文脈を反映しない;複数ツールが同一箇所を別ルール名で重複報告する +- **リスク評価の視点**: 単一脆弱性ではなく「連鎖」で評価する(`pull_request_target` + `contents: write` が組み合わさって [[サプライチェーン攻撃]] に至るかを組織全体で確認) +- **対策の3軸**: 侵害の抑止 / 被害の局所化(fine-grained [[PAT]]・Environments 保護)/ 追跡可能性(runner 上の挙動記録) + + + +[[Blog|ブログ]]