サードパーティ action のリスク - CI/CD用語集の定義
サードパーティ action のリスクとは、呼び出す外部の action が secret を盗んだり build を改ざんしたりする危険性です。
サードパーティ action のリスクとは、自分が制御しない action を使うことによるサプライチェーンの露出で、侵害された、または悪意ある action が自分の workflow のトークンと secret を使って実行されるためです。
対策には、SHA への固定、action のソースのレビュー、GITHUB_TOKEN の permissions の制限、リポジトリが実行を許可される action の限定などがあります。
関連ガイド
Pinned Action SHA - CI/CD Glossary DefinitionPinned Action SHA: A pinned action SHA is referencing an action by its full 40-character commit hash (for exa…
Immutable Action - CI/CD Glossary DefinitionImmutable Action: An immutable action is a published action version that cannot be changed after release, so…
Least-Privilege Token - CI/CD Glossary DefinitionLeast-Privilege Token: A least-privilege token is a credential granted only the minimum scopes required for a…