CTO室SREの @sinsoku です。 社内のGitHub ActionsのYAMLが複雑になってきたので、私が参考にしてる情報や注意点、イディオムなどをまとめておきます。 頻繁に参照するページ 新しい機能の説明が日本語ページに反映されていないため、基本的に英語ページを読むことを推奨。 ワークフロー構文 YAMLの基本構文の確認 コンテキストおよび式の構文 github オブジェクトの情報、関数の確認 ワークフローをトリガーするイベント 各イベントの GITHUB_SHA と GITHUB_REF が記載されている About GitHub-hosted runners インストールされているSoftwareのバージョンなどが記載されている GitHub REST API APIを使うときに参照する よく使うaction actions/checkout イベントによってはデフォルトブ
リリース頻度を毎週から毎日にしてみた - NTT docomo Business Engineers' Blog
目次 目次 はじめに NeWork とは リリース頻度変更の背景 それまでの運用 課題 実現方法 解説 日次でワークフローが起動するようにする main ブランチの HEAD にタグが付与されていなければ付与する develop に差分があれば main へのマージを自動で行う 細かな工夫点 main の内容を develop に自動で取り込む 祝日はリリースしないようにする 自動リリース・自動 develop → main マージの制御 Slack にリリース結果を通知する stg 環境に変更内容を通知する その他の考慮 上司への事前説明の省略 スプリントレビュー前のリリース リリースノート 品質面 リリース頻度を変えてみて おわりに はじめに こんにちは、NeWork 開発チームの藤野です。普段はオンラインワークスペースサービス NeWork のエンジニアリングマネジメントをしています
Bitwarden ソフトウェアサプライチェーン攻撃の概要と対応指針 - GMO Flatt Security Blog
2026年4月23日、オープンソースのパスワードマネージャ Bitwarden の CLI パッケージ @bitwarden/cli の npm 版が侵害されました。攻撃者はバージョン 2026.4.0 を公開し、preinstall フック経由で情報を窃取するマルウェアを実行させました。本記事は、手元での検証および公開情報を踏まえ、日本のコミュニティ向けに事象を整理するものです。 追記: 本侵害をCTO米内が解説するウェビナーを4月28日(火) 12:00から開催予定です。申し込みページより事前登録いただければ、どなたも無料で視聴が可能です。 TL;DR - 対応指針 悪性バージョンは 2026.4.0 のみです。2026.3.0(直前正規版)と 2026.4.1(復旧版、正規の Trusted Publishing 経由・provenance 付き)は安全です。 2026.4.0 がイ
先日起きた tj-actions や reviewdog のセキュリティインシデントのレポートを読みました。 その内容を個人的な検証結果や感想を挟みつつかいつまんで書きたいと思います。 詳細は原文を読んでください。 なお、侵害された repository 及び tag は全て修正され、盗まれた Personal Access Token (PAT) も revoke されているはずです。 攻撃の流れ tj-actions/changed-files が侵害されるまでに複数の PAT の流出及びリポジトリの侵害が連鎖的に起こっています。 つまり tj-actions/changed-files が直接的にいきなり侵害されたというより、複数のリポジトリをいわば踏み台のようにして侵害したという感じでしょうか。 攻撃者は PAT が盗まれたりした GitHub Account とは別に複数の Gi
AI開発ツールDevinが作成したPull Requestに対して、セキュリティと品質を確保するために2人の承認を必要とする実装方法について解説します。 2025/05/21 追記 レビューコメントが30件以上あったときに正しく動かない問題を修正しました 開発者が書いたPull RequestをDevinにApproveしてもらってマージするパターンも防ぎたい場合は、ifの条件を少し変える必要があります。 背景 newmoでも少し前からDevinを利用して開発を行っています。 Devinを利用するフローは、以下のような感じになります。 エンジニアがSlackやDevinのWeb UIからタスクを依頼 DevinがGitHubにPull Requestを作成 エンジニアは必要に応じてSlackやPull Request上でコメント Devinがコードを修正 問題なければ承認してマージ dev
こんにちは。メルコインのバックエンドエンジニアのiwataです。 この記事は、Merpay Advent Calendar 2023 の23日目の記事です。 私はいまメルコインのCoreチームに属しています。Coreチームでは主にお客さまからの暗号資産の売買注文を受け付ける部分のマイクロサービスを開発運用しています。 メルコインではCI環境としてGitHub Actions self-hosted runnerを使用しています。またCIだけでなく、さまざまな自動化のためのワークフローの構築もこの環境を用いて実行しています。この記事では私の所属しているCoreチームにおいてGitHub Actions上に構築しているオートメーションについて紹介したいと思います。 PR-Agent PR-AgentはOpenAI APIを使って、PRのコードレビューなどを自動化してくれるActionです。La
GitHub Actions Supply Chain Attack: A Targeted Attack on Coinbase Expanded to the Widespread tj-actions/changed-files Incident: Threat Assessment (Updated 4/2)
GitHub Actions Supply Chain Attack: A Targeted Attack on Coinbase Expanded to the Widespread tj-actions/changed-files Incident: Threat Assessment (Updated 4/2) Executive Summary Update April 2: Recent investigations have revealed preliminary steps in the tj-actions and reviewdog compromise that were not known until now. We have pieced together the stages that led to the original compromise, provid
AWS Step FunctionsとSSM RunCommandでWebシステムの起動・停止のジョブネットを組んでみた | DevelopersIO
ジョブ管理システムから抜け出したくないですか? こんにちは、のんピ です。 皆さんはジョブ管理システムから抜け出したいと思ったことはありますか? 私は常に思っています。 ジョブ管理システムとは、バッチ処理やOSの起動の一つ一つの処理をジョブとして、制御・運用をするシステムです。 ジョブ管理システムを使うことによって、定型業務を自動化するなどのメリットがあります。 しかし、私が思うに、ジョブ管理システムが便利だからこその辛みもあると思っています。 私が感じるジョブ管理システムの辛いところを以下にまとめます。 ジョブ管理システムで全てのシステムのジョブネットを管理しているがために、ジョブ管理システムのメンテナンスが大変 ジョブ管理システムが停止すると、全てのシステムに影響があるため、高い可用性が求められる ジョブ管理システムによっては、エージェント毎にライセンスの購入が必要になり、大量のクライ
デプロイ対象環境ごとに別々のSlackチャンネルに通知するGitHub Actionsの実装例 - KAYAC Engineers' Blog
SREチームの長田です。 SRE関連の記事としては今年最初の記事になります。 今年も定期的にSREチームメンバーによる記事を投稿していく予定です。 よろしくお願いします。 さて、今回はGitHub Actionsのはなしです。 TL;DR デプロイを実行するGitHub Actionsの実行状況を デプロイ対象環境ごとに別々のSlackチャンネルに通知する場合の実装例として、 「slackapi/slack-github-actionで通知をつくりこむ」 「Actions Workflowを分ける」 「Actions Workflow実行の入り口を分ける」 の3つを紹介します。 背景 カヤックでは「まちのコイン」という地域通貨サービスを開発・運用しています。 coin.machino.co まちのコインの開発・運用チームの、特にサーバーサイドに関しては、 アプリケーションやインフラ構成の変
GitHub Actions の Workflow や Workflow 用のスクリプトの変更を防いでセキュリティを改善するための OSS を開発しているので紹介します。 背景 GitHub Actions は非常に便利ですが、 Workflow を書き換えて任意のコマンドを実行できるという、セキュリティ的なリスクがあります。 例えば GitHub Actions で Terraform を実行して AWS や GCP の IaC を実現している場合、 Workflow を書き換えて terraform destroy を実行して インフラを破壊するといったことが考えられます。 GitHub App が使われている場合、 Workflow を書き換えて GitHub App で悪意のある Pull Request を approve したり、はたまた GitHub App で Pull R
こんにちは! ソフトウェアエンジニアの金子と申します。2020年9月にアンドパッドに入社してはじめてのテックブログです。 今回は、わたしが入社直後から開始し、先日一区切りついた社内勉強会についてご紹介致します。 「となりのチームの様子がわからない」「チーム横断の会話がしたい」などの課題がある方にとってなにかヒントになるかもしれないと思ってこのお話を書いてみることにしました!もし何かの参考になれば幸いです。 勉強会の概要 開催の背景 2020年9月当時、アンドパッドにはコードベースで改良の余地がたくさんある状態でした。しかしながらその状態に対して、「Railsアプリとして標準的でない実装などよくないコードを無くしても新規で追加される」という問題、「良い書き方、考え方が広まらない」という問題がありました。 加えて機能開発やエスカレ対応など、どのチームもやることは本当に山積みで、誰かが「このよう
Find information about security best practices when you are writing workflows and using GitHub Actions security features. Writing workflows Use secrets for sensitive information Because there are multiple ways a secret value can be transformed, automatic redaction is not guaranteed. Adhere to the following best practices to limit risks associated with secrets. Principle of least privilege Any user
Feb 11, 2025 RONI CARTA | LUPIN supply chain attack, docker, red team, artifact, bug bounty, pwn Introduction Back in 2021, I was still early in my offensive security journey. I had already hacked several companies and was earning a steady income through Bug Bounty Hunting, an ethical hacking practice where security researchers find and report vulnerabilities for monetary rewards. However, I wasn’
Claude Code hooksで始めるPromptOps:チームで意図を残す仕組み作り - Algomatic Tech Blog
こんにちは。Algomatic AI Transformation(AX) の柗村@yu_mattznです。 私は7月にAIプロダクトエンジニアとして入社し、今はネオデザインAIの開発責任者をしています。プロダクト出身でAIについての深い知見はないため、日々AIエンジニアの方々の投稿からキャッチアップできて最高な環境です。 今回は、Claude Codeをチームで使う際、プロンプトを共有するのが今後大事になってくるのではないか?と考えたきっかけとその取り組みを紹介します。 Claude Codeを導入してみて Claude Codeが出た時、部署では一瞬で使用を許可していただきました。(爆速。感謝) 使ってみて、フロントもバックエンドも一通して開発させることができ、実装スピードは跳ね上がりましたが、バックエンドは自身が使用してきた言語ではなかったのもあり、コードレビューがボトルネックになり
Devin x GitHub ActionsでRenovateのPR対応を自動化する実践ノウハウ - コネヒト開発者ブログ
こんにちは!Androidエンジニアの関根です。 今回は、RenovateのPR対応を自動化する取り組みについてご紹介します。 はじめに 皆さんの職場では、Renovateを使いこなせていますか?依存関係を最新に保つ上で、本当に頼もしい存在ですよね。 弊社のAndroidチームではRenovateのPullRequestを定例で確認し、マージの判断をする運用は行っていますが、だんだんとPullRequestが溜まってしまっていました。 影響の少ないアップデートならその場で判断し、マージできますが、調査が必要な場合に、先送りしてしまうということが起きていました。 「影響範囲の調査が必要だな…」「後でやろう…」 そう思っているうちに、PRはどんどん溜まっていき、上限数に達してしまうということが定常化していました。 この記事では、そんな「調査待ちRenovate PR」の渋滞を、今話題のAIエー
Shai Hulud Strikes Again (v2)Another wave of Shai-Hulud campaign has hit npm with more than 500 packages and 700+ versions affected. Update: November 26, 2025 PostHog has published a detailed post mortem describing how one of its GitHub Actions workflows was abused as an initial access vector for Shai Hulud v2. An attacker briefly opened a pull request that modified a script executed via pull_requ
Pull Requestでレビューしたい! はてなブログでホストされたエンジニアブログだとしても - LIVESENSE ENGINEER BLOG
どうも、かたいなかです。 採用広報チームでのブログ推進の一環として、はてなブログにある弊社エンジニアブログ記事をGitHubで管理するしくみを整えました。 この記事では、どのようなGitHubでの記事編集フローを構築したかをまとめます。 記事のレビューのフローがバラバラ・・・ GitHubで記事を管理できるように GitHub Actionsでtextlintを実行 GitHub Actionsではてなブログ側の変更を取り込む 定期実行のワークフローで公開された記事を公開済み記事のディレクトリに移動 GitHubで記事を管理できるようにしてどうだったか 参考 記事のレビューのフローがバラバラ・・・ 弊社のエンジニアブログの記事の運用での大きな問題のひとつに、レビューのフローが記事によってバラバラになってしまっていることがありました。 具体的には、以下のような一長一短ある複数のフローが、記事
dbtCloudから作成したPullRequestにコンパイル済みSQLをコメントする仕組みを作成した話 - Timee Product Team Blog
こんにちは☀️ タイミーでアナリストとアナリティクスエンジニアしてますokodoonです 今回の記事はdbt CloudでPull Requestを作るときに、レビュー負荷が高くなってしまっていた問題を解消できるように、コンパイル済みのSQLをPR上にコメントするような仕組みを作成したことについての紹介です。 もし同じような課題感を抱えている方がいらっしゃれば、参考にしていただければ幸いです 課題感 今回選択した解決策 背景/前提 実装概要 各ステップの説明 PRの情報をもとにprofiles.ymlの動的生成 コンパイル処理の実施 PR上にコメント どんなふうに動くかみてみる 結果 We’re Hiring! 課題感 弊社のデータ基盤ではDWH層DataMart層は「分析用に加工されたデータを扱う層」として定義しています。 各種ドメインに依存した集計や変換のロジックが含まれるため、この層
Slack が提供する GitHub Action "slack-send" を使って GitHub から Slack に通知する - Qiita
以下のようになります。 この状態でアプリを作ったら、そのまま Install to Workspace ボタンからインストールを実行してください。 確認画面でチャンネルを選ぶように促されますので、通知を送りたいチャンネルを選択してから Allow ボタンをクリックしてください。 インストールが完了すると Bot User OAuth Token と Webhook URL が発行されていると思います。Incoming Webhooks だけを使う場合は OAuth Token の方は利用しません。 発行された Webhook URL をコピーして GitHub 側の Secrets 設定画面で SLACK_INCOMING_WEBHOOK_URL として設定してください。 最後に以下のような GitHub Action を .github/workflows/incoming-webhoo
Tech Solvency: The Story So Far: CVE-2021-44228 (Log4Shell log4j vulnerability).
Log4Shell log4j vulnerability (CVE-2021-44228 / CVE-2021-45046) - cheat-sheet reference guide Last updated: $Date: 2022/02/08 23:26:16 $ UTC - best effort, validate all for your environment/model before use, unofficial sources may be wrong by @TychoTithonus (Royce Williams), standing on the shoulders of many giants Send updates or suggestions (please include category / context / public (or support
s1ngularity: Popular Nx Build System Package Compromised with Data-Stealing Malware - StepSecurity
Executive SummaryStarting August 26, 2025 at approximately 10:32 PM UTC, the popular Nx build system package was compromised with data-stealing malware. The malicious versions remained live for just over five hours before being taken down, but in that short window, thousands of developers may have been exposed. The malware did more than just steal SSH keys, npm tokens, and .gitconfig files - it we
name: Perform a code review when a pull request is created. on: pull_request: types: [opened] jobs: codex: runs-on: ubuntu-latest permissions: contents: read outputs: final_message: ${{ steps.run_codex.outputs.final-message }} steps: - uses: actions/checkout@v5 with: # Explicitly check out the PR's merge commit. ref: refs/pull/${{ github.event.pull_request.number }}/merge - name: Pre-fetch base an
ライブラリの脆弱性対応はトラブルが発生する前に着手しておきたいものですが、各ライブラリの最新情報キャッチアップまでは中々手が届きません。そんな時に役に立つのがDependaBot。 ただ「このbotを導入すれば夢のように全てが片付く」というわけでもありません。実際の実務にうまく取り込む際にやっておきたい事をToDoとしてコメント追加してみました。 コメントでToDoを追加する DependaBotによるPRはあくまでもライブラリの依存状態に関する情報のみ記載されます。プロジェクトでの確認事項をTODOとして自動で追加しておくと手間が省けます。 dependabotによるPR作成時に限定して、直後にToDo一覧をコメントとして追記してみます。 name: "Comment on pr" on: pull_request_target: jobs: addtodo: runs-on: ubun
2024-05-15, Version 22.2.0 (Current), @targos Notable Changes [fb85d38e80] - (SEMVER-MINOR) cli: allow running wasm in limited vmem with --disable-wasm-trap-handler (Joyee Cheung) #52766 [23a0d3339f] - doc: add pimterry to collaborators (Tim Perry) #52874 [7d7a762156] - (SEMVER-MINOR) fs: allow 'withFileTypes' to be used with globs (Aviv Keller) #52837 [8748dd6477] - (SEMVER-MINOR) inspector: intr
Perl Hackers Hub 第67回GitHub APIによるチーム開発の効率化 ―基本操作から、GitHub Webhooksの活用まで(2) 前回の(1)はこちらから。 GitHub WebhooksによるSlackとの連携 前回の(1)まではPerlスクリプト単体でGitHub APIを実行する例でしたが、応用編として、GitHubが提供しているGitHub Webhooksを利用してSlackと連携するサンプルアプリケーションを紹介します。 GitHubを活用した開発ワークフロー Pull Requestやissueなどの通知について、公式のSlack用GitHubアプリケーションを利用するなどして、Slackとの連携を行っているケースがあると思います。また、GitHub Actionsを利用できる環境であれば、GitHub MarketplaceにあるSlack連携などのツ
MCPサーバーで始める不具合分析の自動化に挑戦中
はじめに Social Databank Advent Calendar 2025 の1日目です。 今回は現在QAチームで取り組んでいる不具合の自動分析について説明したいと思います。 現在SDBではプロダクトの規模、参加する開発者も増えてきました。そのため、増加するリリースに耐えられるようにCI/CDや自動テストなどの取り組みを行っています。 その中の1つに不具合分析をしていますが、不具合の管理〜分析に工数がかかるという問題がありました。 また、不具合の共有が遅れてしまえば、内容を忘れ陳腐化することもあります。 そのため、不具合に関わる項目を自動化することで共有までの工数短縮を図ることになりました 全体構想 最終的には以下の図のようなシステムを作りたいと思っています。 不具合分析自動化の全体図 Githubに不具合修正のPRを作成する a. PRに「bug」とlabelをつけると、GitH
はじめに lerna-changelog を使うと CHANGELOG.md をプルリクエストから生成できます。 CHANGELOG.md 生成時に変更ログの分類やタイトルが不適切であったことに気づいた場合、プルリクエストを修正することで対応できます。 これはコミットログを使う方法に比べて柔軟です。いっぽうで Conventional Commits などにより適切なコミットログを付ける運用をしている場合に、プルリクエストへ同じ内容のラベルを貼るという二度手間が発生してしまいます。これは GitHub Actions の CI/CD へ、ひと手間はさむことで自動ラベリングすることにより解決できます。 lerna-changelog と GitHub Actions によるコミットログからの自動ラベル付けを紹介します。 解決したい課題 プルリクエストのラベル付けに手間が発生している プルリク
CodeBreach: Supply Chain Vuln & AWS CodeBuild Misconfig | Wiz Blog
CodeBreach: Infiltrating the AWS Console Supply Chain and Hijacking AWS GitHub Repositories via CodeBuildWiz Research discovered a critical supply chain vulnerability that abused a CodeBuild misconfiguration to take over key AWS GitHub repositories - including the JavaScript SDK powering the AWS Console. Wiz Research uncovered CodeBreach, a critical vulnerability that placed the AWS Console supply
Keeping your GitHub Actions and workflows secure Part 1: Preventing pwn requests
Keeping your GitHub Actions and workflows secure Part 1: Preventing pwn requests Jaroslav Lobačevski This post is the first in a series of posts about GitHub Actions security. Part 2, Part 3, Part 4 Secure your workflows with CodeQL: You can enable CodeQL for GitHub Actions to identify and fix the patterns described in this post. In this article, we’ll discuss some common security malpractices for
Bedrock, OpenSearch Serverless, App Runner, Slack Bolt, LangChainを利用してRAGを実行できるSlackチャットボットを作成しました。 こんにちは。たにもんです。 生成AIを活用したアプリケーションの代表例としてRAG (Retrieval-Augmented Generation; 検索拡張生成) があります。 LLMが生成する文章にはもっともらしい嘘(ハルシネーション)が含まれることがありますが、RAGを用いることでハルシネーションを抑える効果が期待できます。 ハルシネーションはLLMが学習していない知識に関する文章を生成する際に発生する可能性が高まりますが、RAGではユーザーの入力に関連する情報を外部から検索してLLMの知識を補ってあげることで精度向上を目指します。 今回はRAGを実行できるSlackチャットボットを作っ
N番煎じですが、やってみる機会があったので一般化してメモしておきます。 背景: コードレビューを素早く行なうことの重要性 レビューのフローを整理する GitHub Actionsでレビュー依頼を自動化する 背景: コードレビューを素早く行なうことの重要性 チーム開発で重要なことは色々あります*1が、Pull Requestを出したときに素早くレビューをしてもらえるというのはとにかく重要なことの一つです(日本語版)。 レビュー依頼がきたら今すぐ仕事をやめてレビューをしなければならない、というわけでないですが、一日に2~3回は見るようにしようと思いながら過ごしています。レビュー依頼を手動で「XXXさん(あるいはチーム)、以下のPull Requestのレビューお願いします!」とmentionしてもいいですが、一日に何回も明示的にレビュー依頼をしていると「ちょっとうるさいかもな、まとめて依頼しよ
Pick almost any open source supply chain incident from the past eighteen months and trace it back, and you end up reading a .github/workflows YAML file. Ultralytics shipping a crypto miner to PyPI, the nx packages that turned thousands of developer machines into credential harvesters, tj-actions leaking secrets from 23,000 repositories, Trivy getting compromised twice in three weeks, elementary-da
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
入門 GitHub Actions - メドピア開発者ブログ
tj-actions のインシデントレポートを読んだ
Devinが作るPull Requestのセルフマージを禁止する - newmo 技術ブログ
メルコインにおけるGitHub Actions活用術 | メルカリエンジニアリング
GitHub Actions の Workflow の改変を防ぐ
ANDPADを最高のRailsアプリにするために勉強会をやっていた話 - ANDPAD Tech Blog
Secure use reference - GitHub Docs
How We Hacked a Software Supply Chain for $50K
Shai Hulud Strikes Again (v2) - Socket
GitHub - openai/codex-action
DependaBotによって作成されたPRに独自のToDoを追加してみる | DevelopersIO
Node.js — Node.js 22.2.0 (Current)
第67回 GitHub APIによるチーム開発の効率化 ―基本操作から、GitHub Webhooksの活用まで(2) | gihyo.jp
GitHub Actions でコミットログからプルリクにラベル貼り
RAGできるSlackチャットボットを作ってみた | DevelopersIO
GitHub Actionsで定期的なレビュー依頼を自動化する - yasuhisa's blog
GitHub Actions is the weakest link