Skip to content
Latchkey

サードパーティ action のリスク - CI/CD用語集の定義

サードパーティ action のリスクとは、呼び出す外部の action が secret を盗んだり build を改ざんしたりする危険性です。

サードパーティ action のリスクとは、自分が制御しない action を使うことによるサプライチェーンの露出で、侵害された、または悪意ある action が自分の workflow のトークンと secret を使って実行されるためです。

対策には、SHA への固定、action のソースのレビュー、GITHUB_TOKEN の permissions の制限、リポジトリが実行を許可される action の限定などがあります。

関連ガイド