npmパッケージ/GitHub Actionsを利用する側/公開する側でサプライチェーン攻撃を防ぐためにやることメモ
パッケージを利用する側、パッケージを公開する側でサプライチェーン攻撃を防ぐためにできることのメモ書きです。 パッケージを利用する側 npmやGitHub Actionsなどを利用する側として、サプライチェーン攻撃を防ぐためにできることをまとめます。 ロックファイルを使う npmやYarn、pnpmなどのパッケージマネージャーは、依存関係のバージョンを固定するためにロックファイル(例: package-lock.json, yarn.lock, pnpm-lock.yaml)を使用する GitHub ActionsではSHA Pinを行う pinactなどを使ったGitHub ActionsのSHA Pinを行う また、GitHubリポジトリの"Require actions to be pinned to a full-length commit SHA”を有効にする https://gi
Nx の攻撃から学べること #s1ngularity | blog.jxck.io
Intro Nx リポジトリが攻撃を受け、広範囲にわたるインシデントが発生した。 今回の事例は、GitHub Actions を中心に複数のステップが組み合わさった攻撃であり、過去に何度も発生してきた攻撃と本質的には変わらない。 しかし、途中で AI が何度か登場するため「AI が書いたコードをマージしたから」などといった表面的な反応もあるが、実態はそこまで単純な話でもない。 また、「自分のプロジェクトは Nx を使っていないから関係ない」とも言えない攻撃であるため、特にフロントエンドエンジニアは全員注意と確認が必要となる。 この攻撃が何だったのか、そこから学べることは何なのか、解説する。 Nx Incident 今回のインシデントについては、既に公式の Advisory が出ている。ニュース系の記事も多々あるが、一次情報は以下となる。 Malicious versions of Nx a
GitHub Actions の定期実行ワークフローを「時間通り」に実行する
schedule イベントを用いた、GitHub Actions のワークフローの定期実行は時間通りに実行されないがちです。この問題を解決するため、ワークフローファイルにアノテーションという形で cron 式を記述すると、自動的にその cron 式が示す時間に workflow_dispatch する社内システム兼 GitHub App を作りました。cronium(/krɒnɪəm/)と呼んでいます。Chromium じゃないよ。 本稿の構成は次の通りです。まず、cronium を作るに至った背景を説明し、問題を解決するアイディアを紹介します。次に、ユーザーはどのような体験を得られるのかを示すため、cronium の使い方を簡単に説明します。そして、cronium がどのように作られているのか、どうしてそのように作ったのかを解説し、最後に今後の展望を述べて本稿を閉じます。 背景 GitH
GitHub - bahdotsh/wrkflw: Validate and Run GitHub Actions locally.
TUI interface — interactive terminal UI for browsing, running, and monitoring workflows Workflow validation — syntax checks, structural validation, and composite action input cross-checking with CI/CD-friendly exit codes Local execution — run workflows using Docker, Podman, or emulation mode (no containers) Job selection — run individual jobs with --job flag or via TUI job selection mode Job depen
GitHub Actions のワナ仕様
はじめに GitHub Actions (GHA)、便利ですよね。 便利なんですが、たまに「え、そんな仕様だっけ?」みたいなワナに遭遇します。そして毎回忘れてワナにハマってしまいます。 今後そんなワナにハマって時間を無駄にしないよう、ワナ仕様について網羅していきます。 対象読者 GitHub Actions を使い倒したい方 割と大きめな規模の GitHub Actions を構成している方 初級編 run を複数行で書くときの記法 GHA というか YAML の記法です。いきなり GHA から外れてすみません 💦 が、よく忘れるので覚えておくと助かります。以下の 2 種類を覚えておけば、ほとんどの場合事足りると思います。 | は改行を改行として実行する
GitHub Actions はチューリング完全
チューリング完全とは、ざっくり説明すると、一部を除くほとんど全ての計算が可能な能力を意味します。言い換えると、ほとんど全ての計算問題を解く能力を意味します。(あとでもう少し詳しく説明します。)プログラミング言語は一般にチューリング完全であり、例えば TypeScript や Python はチューリング完全です。プログラミング言語以外にも、TypeScript の型システムやスーパーマリオメーカー、マジック・ザ・ギャザリングもまたチューリング完全であることが知られています[1][2][3]。直近では find と mkdir だけでチューリング完全になると報告されていましたね[4]。 逆にチューリング完全でない例としては正規表現[5]があります。チューリング完全ならば正規表現で解ける問題を全て解けますが、その逆は不可能です。例えば回文の判定は正規表現だと無理です。このように、数ある計算能力
GitHub Actions に Arm64 ランナーが来たので Docker のマルチプラットフォームイメージをビルドしてみる
GitHub Actions に Arm64 ランナーが来たので Docker のマルチプラットフォームイメージをビルドしてみる 2024/06/03 に GitHub Actions に Arm64 ランナーが追加されました。 現在はパブリックベータで、Team と Enterprise Cloud プランでのみ利用可能です。料金は x64 の同性能のランナーより 37% 安く、電力効率が高いため二酸化炭素排出量削減にもつながるとのことです。 この記事では、新しく追加された Arm64 ランナーを使って Docker のマルチプラットフォームイメージをビルドしてみます。 マルチプラットフォームイメージとは? マルチプラットフォームイメージとは、複数の異なる CPU アーキテクチャ(場合によっては異なる OS)のイメージを 1 つのイメージとして扱えるようにまとめたものです。マルチプラット
GitHub ActionsでCODEOWNERSファイルの変更を詳細に報告するツール
皆さん、こんにちは! @hoshinotsuyoshi です。今回は、私が開発した便利なツールについて紹介したいと思います。このツールは、GitHubのCODEOWNERSファイルの変更を正確に報告し、プルリクエストのレビューを効率的に進めるのに役立ちます。 背景 プロジェクトの管理では、CODEOWNERSファイルを使用して、特定のファイルやディレクトリに対する所有者(コードの保有者)を指定することがあります。 しかし、このファイルの解釈・パースは複雑怪奇で、このファイルの内容が変更された場合、具体的にどのファイルが影響を受けるのかを把握するのは簡単ではありません。 同僚のmh4gfさんの記事 GitHubのCODEOWNERSで一部サブディレクトリだけ別のオーナーを指定する も御覧ください。 サブディレクトリだけ別のオーナーを指定するときにこんな書き方をしないといけないんです。 どうで
Tailscale経由でGitHub ActionsのVMにsshする - masa寿司の日記
GitHub AcionsのVM上でTailscaleをセットアップすると、Tailscale経由でGitHub ActionsのVMにsshできます。 Tailscale知らない人へ 事前準備 サンプルworkflow 何が嬉しいか コツ 他の選択肢 Tailscale知らない人へ Tailscaleが何かご存じない方は、過去に記事を書いているのでそちらを参考にしてください。 mstshiwasaki.hatenablog.com 事前準備 Tailscaleのアカウントを取っておくこと 作業用のPC/MacでTailscaleをセットアップしておくこと GitHub ActionsのSecretsで SSH_APIKEY SSH_PUBKEY という名前でログインに使うsshの公開鍵を登録しておくこと サンプルworkflow 事前準備が出来たら、まずは試してみましょう。GitHub
GitHub Actions のワークフローをチェックする actionlint をつくった - はやくプログラムになりたい
GitHub Actions のワークフローを静的にチェックする actionlint というコマンドラインツールを最近つくっていて,概ね欲しい機能が揃って実装も安定してきたので紹介します. github.com なぜワークフローファイルの lint をすべきなのか GitHub Actions が正式リリースされてからだいぶ経ち,GitHub 上での CI は GitHub Actions が第一候補となってきているように感じます.僕も新規にリポジトリを作成して CI をセットアップする場合はほぼ GitHub Actions を使っています. ですが,GitHub Actions には下記のような問題があり,actionlint でそれらを解決・緩和したいというのが理由です. ワークフローを実装する時は,GitHub に push して CI が実行されるのを待って結果を確認するという
ormolu-action
へいしゃでは、ソースコードのフォーマッターに Ormolu を利用しています。 インデント時のスペース数すらカスタマイズ不可なので好き嫌いが分かれるところですが、プロジェクト全体のコードを統一しておくとコードレビューの際にも有用なので入れています。 ちなみにスペース幅を4にしたくてフォークされた fourmolu というフォーマッターもあります。現在ではスペース数以外の設定もできるみたいです。 どちらも hls から利用可能なので、興味がある人は試してみると良いと思います。 また、ormolu のフォーマット結果で末尾カンマが気に入らない場合は google/ormolu の gfork ブランチを使ってみると良いかもしれません (フォーマット結果)。fourmolu も Add option for leading commas (and expand test suite) #17 で
外部ツールのバージョンアップを GitHub Actions で検知する
GitHub Actions のアクションや Bazel ルールを書いたりすると,外部のアプリケーションのアップデートを検知したいときがしばしばあります. いろいろ試行錯誤した結果,GitHub Actions を使って実現することにしたので,本記事はそのメモ書きです. ちなみに,本記事は「GitHub Actions Advent Calendar 2020」の14日目の記事です. GitHub Actions を設定する 実際に導入した PR がこちら: Add GitHub Action to check new yq version by matsubara0507 · Pull Request #1 · matsubara0507/rules_yq yq と言うツールのリリースを検知しようとしている. ちなみに,最新のバージョンは中の処理のデフォルト値として利用している. デフォ
Netlify でホスティングしている Gatsby 製静的サイトを定期的にビルドして情報を更新する - ryota-ka's blog
この記事は以下のページに移転しました. blog.ryota-ka.me TL; DR Netlify の build hook URL を発行する 上記の URL に対して定期的にリクエストが送られるように設定する モチベーション ポートフォリオサイトを Gatsby で作って Netlify でホスティングしているのだが,コンテンツの一部として,gatsby-source-graphql を使って GitHub GraphQL API から自分の profile の pinned items を取得して表示したり,gatsby-source-rss-feed を使ってこのブログの最新記事を取得して表示したりしている.静的サイトとしてホスティングしているため,これらの情報はビルド時に取得され,その時点で得られた値が HTML に埋め込まれる.しかし,こうした情報は低頻度ではあるものの,ポ
GitHub Actions上でPRを作る時はsecrets.GITHUB_TOKENは使わない方がよさそう - くりにっき
事象 GitHub Actions上で使える secrets.GITHUB_TOKEN だと別のジョブを起動できないというのが一番の理由。 https://docs.github.com/en/actions/reference/events-that-trigger-workflows#triggering-new-workflows-using-a-personal-access-token 具体的にどういうケースで困るのかというと、GitHub Actions上でPRを作った場合にそのPRに対するビルドが行われません。 普通だったらコミットIDの左側に✔が出るはずなんだけど出ない図 pushやPRなどのビルドをGitHub Actions以外(例:CircleCIなど)で行っている場合には問題ないです。 解決策 いくつか案はあるのですが現状だと GitHub App Token を使
GitHub Action で Vim や Neovim を簡単にインストールできる action-setup-vim をつくった - はやくプログラムになりたい
今週ちまちまと git-messenger.vim や clever-f.vim の CI を GitHub Actions に移行していました.毎回 Vim プラグインの CI のために Vim や Neovim のセットアップを書くのが面倒なのと,Windows 上で Vim や Neovim を入れるのが(Powershell に不慣れなこともあり)大変だったので,GitHub Action として切り出すことにしました. github.com 1ステップで Vim や Neovim を簡単にインストールできます. Vim と Neovim 両対応 Linux, macOS, Windows すべてで動作 'stable' と 'nightly' の両方に対応 追記: 特定バージョンにも対応(v1.1.0) 使い方 下記のようにステップを書けば Vim または Neovim をインス
LGTMすると現場猫が「ヨシ!」してくれるGitHub Actionsをつくった + Tips - Qiita
前提知識 GitHub Actionsは「ソフトウェアワークフローを簡単に自動化するサービス」。 有名どころだとCircleCI的なやつ。CI/CDとかの開発時に必要となる作業を自動化できるサービス。 基本的には.ymlファイルに色々設定とコマンド書けば使えるすごいやつだよ。 長すぎて読めない人 GitHub Actionsを使って独自のアクションをつくった PRとかIssueでコメントにLGTMってあったら現場猫が「ヨシ!」ってしてくれる 初めて作ったので、Tipsもまとめておく つくったアクションの概要 リポジトリは以下(スターおねがいします) 設定するとGitHub上でPRやIssue上でLGTMとコメントすると「ヨシ!」って画像が貼られる 😺.。oO(この人がLGTMって言ってたらたぶん大丈夫や...! ヨシ!w) 使い方 任意のリポジトリに以下のファイルを.github/wor
Haskell で GitHub Actions する
本記事は「Haskell Advent Calendar 2019」の2日目の記事です. 2019/11/13 に GA された GitHub Actions を使って,Haskell プロジェクト,とりわけ Haskell Stack を使ったプロジェクトを CI/CD します. ちなみに,試すために導入した PR はこれです: 自動ビルドを追加 by matsubara0507 · Pull Request #1 · matsubara0507/octbook これは適当な設定ファイルから GitHub の Organization や Organization の Team 機能にユーザーを招待したりキックしたりするための CLI ツールです. Cabal の場合 はわりかし簡単. Haskell のセットアップは公式がすでに用意してくれてるのでこれを使えば良い: actions/s
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GitHub - nomeata/haskell-bounds-bump-action: Create PR to bump Haskell dependency bounds
GitHub - githubocto/repo-visualizer