🔒

GitHub Actions の最新バージョン・SHA をサクッと引ける ActVer を作った

に公開
AI
GitHub Actions
Security
Model Context Protocol
Claude Code
idea

背景

Claude Code で GitHub Actions のワークフローを作らせると、決まって actions/checkout@v4 のような古いバージョンを指定してきます。学習データが最新のリリース情報を含んでいないので仕方ないのですが、毎回手直しするのは面倒です。

じゃあマージ後に Dependabot で更新すればいい?
確かにそれでも動きますが、PR が来るたびにいちいちマージするのも手間です。

「Claude Code に最新バージョンを調べさせればいいのでは」と思って試すと、GitHub API を何度も叩いて調べ始めます。許可設定にしていないと gh api コマンドの実行のたびに許可を求めてくるので、何度も「Allow」を押すことに。

そこで、最新バージョンと SHA をサクッと引ける ActVer を作りました。

https://actver.dev

ActVer とは

GitHub Actions の最新バージョン・SHA 情報を簡単に取得できる無料サービスです。REST API、MCP サーバー、Web UI の 3 つのインターフェースを提供しています。

Web UI で検索

actver.dev にアクセスして、アクション名を入力するだけです。

ActVer トップページ(ライトモード)
actions/checkout の検索結果(ダークモード)

REST API

curl https://actver.dev/v1/actions/actions/checkout

{
  "action": "actions/checkout",
  "latest": {
    "version": "v6.0.2",
    "sha": "de0fac2e4500dabe0009e67214ff5f5447ce83dd",
    "released_at": "2026-01-09T19:53:28Z"
  }
}

API キーは不要です。

MCP サーバー

.mcp.json に以下を追加するだけで、Claude Code や Cursor などの AI エージェントから ActVer の情報にアクセスできます。

{
  "mcpServers": {
    "actver": {
      "type": "http",
      "url": "https://actver.dev/mcp"
    }
  }
}

ローカルプロセスも API キーも不要です。

プラグイン & スキル

ActVer の情報取得機能を活用して、ワークフローファイルの操作を行う AI エージェント向けのスキルも用意しています。

スキル できること
pin-actions ワークフロー内のアクションを SHA にピン留め
upgrade-actions アクションを最新バージョンにアップグレード
audit-actions ワークフローのセキュリティ監査

upgrade-actions スキルの実行例

インストール

# Claude Code
claude plugin marketplace add actver-dev/skills
claude plugin install actver

# Cursor, Copilot など (skills.sh 経由)
npx skills add actver-dev/skills

使ってみる

インストール後は自然言語で指示するだけです。

> ワークフローの Actions を SHA ピン留めして

pin-actions スキルの実行例

ActVer の MCP サーバーから最新バージョンと SHA を取得し、スキルがワークフローファイルを書き換えてくれます。

> GitHub Actions を最新版に更新して

> CI ワークフローをセキュリティ監査して

もちろん MCP サーバーだけ追加して、自分のプロンプトで使うこともできます。

なぜ SHA ピン留めが重要なのか

GitHub Actions はタグベース(@v4)で参照するのが一般的ですが、タグは書き換え可能です。悪意ある第三者がタグを書き換えれば、知らないうちに別のコードが CI 上で実行されることになります。

# Before: タグは書き換え可能
- uses: actions/checkout@v4

# After: SHA は不変
- uses: actions/checkout@de0fac2e4500dabe0009e67214ff5f5447ce83dd # v6.0.2

サプライチェーン攻撃のリスクを減らすには、フルコミット SHA でピン留めするのがベストプラクティスです。OpenSSF Scorecard でも pinned-dependencies チェックとして推奨されています。

正直、自分もセキュリティのためだけにやるのは面倒です。ただ AI コードレビューツールやその他チェックツールに毎回指摘されるので、仕方なくやっています。

ActVer とスキルを使えば、一言指示するだけで終わります。

まとめ

AI エージェントにワークフローを書かせると古いバージョンが使われる。ActVer を挟めばその問題がなくなります。MCP 対応なので AI エージェントとの相性も良いです。

  • Web UI: actver.dev
  • REST API: https://actver.dev/v1/actions/{owner}/{repo}
  • MCP サーバー: https://actver.dev/mcp
  • プラグイン & スキル: actver-dev/skills

すべて無料で利用できます。技術的な仕組みについては次の記事で解説します:

https://zenn.dev/y_k/articles/actver-architecture-and-skill-design

もし気に入っていただけたら、サポートいただけると嬉しいです!

Discussion