ふぁぼん

<h1 id="github-actions%E3%81%AE%E4%B8%AD%E3%81%A7action%E3%82%92%E3%82%B3%E3%83%9F%E3%83%83%E3%83%88%E3%83%8F%E3%83%83%E3%82%B7%E3%83%A5%E3%81%A7%E6%8C%87%E5%AE%9A" data-line="0" class="code-line">
<a class="header-anchor-link" href="#github-actions%E3%81%AE%E4%B8%AD%E3%81%A7action%E3%82%92%E3%82%B3%E3%83%9F%E3%83%83%E3%83%88%E3%83%8F%E3%83%83%E3%82%B7%E3%83%A5%E3%81%A7%E6%8C%87%E5%AE%9A" aria-hidden="true"></a> GitHub Actionsの中でactionをコミットハッシュで指定</h1>
<p data-line="2" class="code-line">実際にはpinactやRenovateなどを使ってやっていくと良さそう。</p>
<p data-line="4" class="code-line">Enforce SHA Pinningもセットで使える。</p>
<p data-line="6" class="code-line"><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__36e1f5f0d5631" src="https://embed.zenn.studio/card#zenn-embedded__36e1f5f0d5631" data-content="https%3A%2F%2Fzenn.dev%2Fshunsuke_suzuki%2Farticles%2Fgithub-actions-enforce-sha-pinning" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://zenn.dev/shunsuke_suzuki/articles/github-actions-enforce-sha-pinning" style="display:none" target="_blank">https://zenn.dev/shunsuke_suzuki/articles/github-actions-enforce-sha-pinning</a></p>


<h1 id="trusted-publishing" data-line="0" class="code-line">
<a class="header-anchor-link" href="#trusted-publishing" aria-hidden="true"></a> trusted publishing</h1>
<p data-line="2" class="code-line">npmやjsr、rubygemsなどのパッケージレジストリではsecretからトークンを取得せずにOIDC経由のトークンでpushできる。APIトークンの権限設定や漏洩対策といった面倒なことを気にしなくてよくなるので、対応レジストリでは絶対にオンにするべき。</p>
<p data-line="4" class="code-line">設定の"Require two-factor authentication and disallow tokens"もオンにしておく。</p>
