こんにちは。今年からグループ情報部という部署にいる 池田(@mashiike) です。 背景 先日、GitHub Actionsの tj-actions/changed-files にセキュリティインシデントがありました。実は、 reviewdog/action-setup 経由らしいという話が直近の話題です。 nvd.nist.gov www.wiz.io サプライチェーン攻撃が本格的に心配になってきた今日このごろです。 さて、このような状況で、GitHub Actionsの外部actionへの攻撃に対する対策はどうしたら良いのでしょうか? そんなとき、ちょうど次の記事が公開されまして、「へぇーRenovateとDependabotならCommitHash直指定でも自動で上げてくれるんだ〜」と知りました。 developer.hatenastaff.com やっぱり、対策はCommitH