GitHub Actions

注: GitHub Actions ワークフロー実行および結果表示、Issue/PR 管理などの gh CLI 関連タスクについては、github スキルを一緒にロードして参照してください。

注意点 (Anti-patterns)

1. 古いバージョンの使用

# ❌ 古いバージョン - 最も一般的なミス
uses: actions/checkout@v4 # v6 が最新の場合

# ✅ 最新メジャーバージョン (gh release view で確認後に使用)
uses: actions/checkout@v6

最新バージョンで提供されるパフォーマンス改善とセキュリティパッチを見落とさないようにします。

バージョン確認コマンド:

gh release view --repo {owner}/{repo} --json tagName --jq '.tagName'

# 例
gh release view --repo actions/checkout --json tagName --jq '.tagName'
gh release view --repo oven-sh/setup-bun --json tagName --jq '.tagName'

注: セキュリティに敏感な環境や信頼度が低いサードパーティ アクションについては、SHA ピニング(@a1b2c3...) を検討してください。

2. 機密情報のハードコード

# ❌ ハードコード - セキュリティ リスク
env:
  API_KEY: "sk-1234567890"
  DATABASE_PASSWORD: "mypassword123"
# ✅ secrets を使用
env:
  API_KEY: ${{ secrets.API_KEY }}
  DATABASE_PASSWORD: ${{ secrets.DATABASE_PASSWORD }}

パスワードや API キーなどの機密情報がそのまま公開され、セキュリティ インシデントにつながる可能性があります。 セキュリティ上重要な情報は、必ずリポジトリまたは組織のシークレットに保存して読み込む必要があります。

参考: Using secrets

3. 入力値インジェクション脆弱性

# ❌ インジェクション脆弱 - github.event を直接使用
run: echo "${{ github.event.issue.title }}"
run: gh issue comment ${{ github.event.issue.number }} --body "${{ github.event.comment.body }}"
# ✅ 環境変数で渡してインジェクション防止
env:
  ISSUE_TITLE: ${{ github.event.issue.title }}
  COMMENT_BODY: ${{ github.event.comment.body }}
run: |
  echo "$ISSUE_TITLE"
  gh issue comment ${{ github.event.issue.number }} --body "$COMMENT_BODY"

悪意のあるユーザーが Issue タイトルやコメントにシェル コマンドを注入する可能性があります。

参考: Script injections

4. pull_request_target イベントの誤用

# ⚠️ 危険 - フォークのコードを信頼されたコンテキストで実行
on: pull_request_target
steps:
  - uses: actions/checkout@v{N}
    with:
      ref: ${{ github.event.pull_request.head.sha }} # 危険!

pull_request_target イベントはフォークの PR でもシークレットにアクセスできます。フォーク コードをチェックアウトすると、悪意のあるコードが実行される可能性があります。

参考: pull_request_target

5. プリインストール ツールの重複設定

# ❌ 不要なセットアップ - node、npm、npx は既にインストール済み
steps:
  - uses: actions/setup-node@v{N}
  - run: npx some-command
# ✅ そのまま使用
steps:
  - run: npx some-command
  - run: python script.py
  - run: docker build .

重複インストールはワークフロー実行時間を増やし、不要なネットワーク リクエストを発生させます。

主要なプリインストール ツール: Node.js、npm、npx、Python、pip、Ruby、gem、Go、Docker、git、gh、curl、wget、jq、yq

主要な未インストール ツール: Bun、Deno、Rust、Zig、pnpm、Poetry、Ruff

プリインストール ツールの確認:

• Ubuntu: https://github.com/actions/runner-images/blob/main/images/ubuntu/Ubuntu2404-Readme.md
• macOS: https://github.com/actions/runner-images/blob/main/images/macos/macos-15-Readme.md
• Windows: https://github.com/actions/runner-images/blob/main/images/windows/Windows2022-Readme.md

ベストプラクティス (Best Practices)

最小権限の原則

権限はできるだけ下位レベルで宣言します。スコープは狭く保ちます:

# ✅ 権限スコープ: workflow > job > step (狭いほど良好)
jobs:
  build:
    permissions:
      contents: read # job レベルで必要な権限のみ

参考: Modifying the permissions for the GITHUB_TOKEN

推奨ワークフロー構造

name: CI

on:
  push:
    branches: [main]
  pull_request:
    branches: [main]

jobs:
  build:
    runs-on: ubuntu-latest
    permissions:
      contents: read

    steps:
      # バージョンは gh release view で確認後に使用
      - uses: actions/checkout@v{N}

      - name: Setup Bun
        uses: oven-sh/setup-bun@v{N}

よく使用されるイベント

on:
  push: # プッシュ時
    branches: [main]
  pull_request: # PR 作成/更新時
    branches: [main]
  workflow_dispatch: # 手動実行
  schedule: # スケジュール実行
    - cron: "0 0 * * 1" # 毎週月曜日 00:00 UTC
  release: # リリース作成時
    types: [published]
  workflow_call: # 他のワークフローから呼び出し

よく使用される権限

permissions:
  contents: read        # CI (ビルド/テスト)、コード チェックアウト
  contents: write       # コミット/プッシュ
  pull-requests: write  # PR コメント ボット
  issues: write         # Issue コメント
  packages: write       # パッケージ デプロイ (contents: write と一緒に)
  id-token: write       # OIDC クラウド認証 (contents: read と一緒に)

よく使用されるアクション

# バージョンは gh release view --repo {owner}/{repo} --json tagName --jq '.tagName' で確認
steps:
  - uses: actions/cache@v{N} # 依存関係のキャッシング
  - uses: actions/checkout@v{N} # コード チェックアウト
  - uses: actions/download-artifact@v{N} # アーティファクト ダウンロード
  - uses: actions/upload-artifact@v{N} # アーティファクト アップロード
  - uses: oven-sh/setup-bun@v{N} # Bun セットアップ