7 min
Mini Shai-Hulud 2nd Waveの概要と対策
2026年5月11日から発生した`@tanstack`エコシステムを中心とする「Mini Shai-Hulud」サプライチェーン攻撃の第二波について、侵害手法、被害内容、そして具体的な対策の概要を解説します。
#Security#npm#GitHub Actions
19 posts
#GitHub Actions
2 min
RenovateでGitHub ActionsのSHA Pinningを手軽に行う
GitHub Actionsでサードパーティのアクションを利用する際、バージョンをタグで指定しているケースをよく見かけるが、セキュリティの観点からは推奨されない。GitHub公式ドキュメントでは、アクションを不変なリリースとして利用する唯一の方法として、SHA Pining、つまりコミットSHAにピン留めすることを推奨している。
#Renovate#GitHub Actions
7 min
VitestのカバレッジレポートをGithub Actionsで添付する実装例
davelosert/vitest-coverage-report-actionを利用することで簡単にVitestのカバレッジレポートを添付することが出来る。
#Vitest#GitHub Actions
6 min
npmパッケージ公開のOIDC Trusted publishingへの移行
OIDC Trusted publishingを用いたnpmパッケージの公開方法およびTrusted publishingのメリットと制約について。
#npm#GitHub Actions
2 min
GitHub Actionsを利用してリリースノートの生成を自動化する
GitHub CLIを利用してリリースノートを生成する方法とGitHub Actionsでの使用例の紹介
#GitHub Actions#GitHub
4 min
AIなどの特定ユーザーの作成したPRに要求するApproval数を増やす
Botなどが作成したPull Requestに対して、GitHub Actionsを利用して通常より多くのApproveを要求する方法
#GitHub Actions#Devin
6 min
PRが閉じられたら自動的にNetlifyのDeployを削除する
NetlifyにはDeployを自動的に削除する機能があるが、よりコントロールしたい場合にはNetlify APIが利用できる。この記事では、Github Actionsで自動的にNetlifyのDeployを削除する方法について紹介する。
#Netlify#GitHub Actions
2 min
QRコードを簡単に生成する
QRコードを生成するライブラリは多く存在する。また、一時的なもので良ければURLで生成できるサービスもある。
#qrcode#QR Code API#GitHub Actions
3 min
Q. gh pr createでレビュワーをチームに変更したら、Github Actions上で動作しなくなった
gh pr createでレビュワーをチームにする場合、追加で`read:org`の権限が必要になるため、デフォルトのsecrets.GITHUB_TOKENでは動作しなくなる。`repo`と`read:org`の権限を持ったPersonal Access Tokenを使うことで解決できる。
#GitHub Actions#GitHub CLI
3 min
How to make Github Actions matrix items conditional
Github Actionsのmatrixのアイテムを条件によって切り替える方法について
#GitHub Actions
3 min
Githubの検索に使える記述について
Githubの検索については公式ドキュメントが十分にまとめられている。しかし、少し辿りにくいようなので、人に共有しやすいように公式ドキュメントのリンクや一部の記述についてまとめた。
#GitHub Actions
7 min
Github ActionsにおけるNode.jsパッケージのキャッシュについて
Github ActionsにおけるNode.jsパッケージのキャッシュについて、actions/setup-nodeの推奨する方法やnode_modulesをキャッシュする方法、その周辺について紹介する。
#GitHub Actions#Node.js
1 min
actions/setup-nodeでnode-version-fileの利用を勧める不純な理由
actions/setup-nodeではnode-version-fileを利用することで、利用されるNode.jsのバージョンをpackage.jsonなどに合わせることが出来る。これだけで便利だが、他にもお勧めできる不純な理由がある。
#GitHub Actions#Node.js
1 min
actions/setup-nodeのcacheはnode_modulesをキャッシュしない
actions/setup-nodeのcacheが期待通りに動作しないことは認識していたが、改めて調べたらそもそもnode_modulesをキャッシュしないことが分かった。
#GitHub Actions#Node.js
4 min
Github Actionsで環境に応じて異なるSecretsやVariablesを使う
GitHub ActionsでEnvironment SecretsやEnvironment Variablesを使って環境に応じて異なるSecretsやVariablesを使う方法を紹介する。
#GitHub Actions
3 min
Q. pull_requestトリガーのworkflowがなぜか実行されていない
Github Actionsのpull_requestトリガーのworkflowがなぜか実行されていないという相談を受けたので、その原因と解決策についてまとめた。
#GitHub Actions
1 min
prCreationがnot-pendingになっているGithubリポジトリでRenovateが動作しなくなっていた
RenovateがPRを作成するタイミングをnot-pendingにしている場合、Githubのブランチプロテクションでpull_requestトリガーのGithub Workflowを必須にしているとPRが作成されなくなることについて説明する。l
#Renovate#GitHub Actions
1 min
Q. Github Workflowsが落ちたらIssueを作らせたい
Github Workflowsが落ちたらIssueを作らせる方法について調査した結果をまとめた。
#GitHub Actions
6 min
Github Actionsを利用してReviewer全員のApprovedを必須にする
GithubでReviewer全員のApprovedを必須にする方法を紹介するが、おすすめしない。
#GitHub Actions#Renovate
News bits
23 件GitHub Code Quality、プルリクエストのコードカバレッジ表示(Public preview)
GitHub Code Quality のコードカバレッジ指標が Public preview として提供開始した。プルリクエスト上で集計カバレッジ率を確認できる。
GitHub Actions、ホステッドランナーイメージの移行予定
Arm64 イメージの GitHub 管理移管に加え、windows-latest の Visual Studio 2026 化と macos-latest の macOS 26 への切り替えが 2026 年 6 月から段階的に行われる。
BufferZoneCorp 系 Ruby ジェムと Go モジュール、CI 狙いのサプライチェーン
GitHub 上の BufferZoneCorp アカウントが公開したスリーパー型の Ruby ジェムと Go モジュールが、インストール時や CI で資格情報窃取・GitHub Actions 改ざん・SSH 永続化などを行うキャンペーンとして調査されている。調査者はレジストリと Go セキュリティチームへの報告とブロック対応を確認している。
GitHub Actions、ワークフロー再実行が最大 50 回に制限
GitHub Actions の同一ワークフローに対する再実行回数が 50 回に制限された。上限超過時はチェックが失敗し、制限に到達した旨の注釈が付く。
GitHub Actions環境の非デプロイ利用とスケジュールのタイムゾーン対応
ジョブの environment に deployment: false、schedule の cron に IANA timezone の指定など。
GitHub ActionsのOIDCトークンにリポジトリカスタムプロパティ対応
カスタムプロパティを `repo_property_` 付きクレームとして付与、リポジトリ・組織・エンタープライズの設定UI(パブリックプレビュー)とAPI、subject claim 上での利用、各クラウドの trust policy 連携。
GitHub Actions、Workflow dispatchでRun IDの取得に対応
新しい return_run_details パラメータにより、ワークフロー実行時にメタデータ(ワークフローID、各種URL等)の取得が可能に。GitHub CLI v2.87.0でも対応。
GitHub Agentic Workflows Technical Preview公開
GitHub Actions上で動作するAIエージェントワークフロー。自然言語でトリガーや動作を定義可能。
GitHub Actions: ホストランナーの価格値下げ
GitHub-hosted runnersの利用料金が値下げされた。 最大で39%の価格引き下げとなり、Standard hosted runnerのパブリックリポジトリでの利用は引き続き無料。 これは2025年12月16日にアナウンスされていた内容が適用されたもので、CI/CDコストの削減に寄与する。 ### 参考文献
GitHub Actionsのキャッシュサイズが10GBを超えられるように
GitHub Actionsのキャッシュストレージが拡張され、リポジトリあたり10GBを超えるキャッシュを保存できるようになった。10GBまでは無料で提供され、それ以上は従量課金モデルで利用可能。Pro、Team、Enterpriseアカウントが必要。
GitHub Actionsの`pull_request_target`とenvironment branch protection rulesの変更
GitHub Actionsのpullrequesttargetとenvironment branch protection rulesの評価方法が変更される。12月8日から適用。ユーザー制御ブランチでの予期しないワークフローコード実行や環境シークレットへのアクセスを防ぐため。
GitHub Actionsの新機能、再利用可能なワークフローの拡張
GitHub Actionsに新機能が追加された。
GitHub Actionsに1 vCPU Linux runnerが追加
GitHub Actionsに1 vCPU Linux runnerがパブリックプレビューで利用可能になった。軽量な操作を実行する際のコスト削減を目的としたランナー。自動化タスク、issue操作、短時間のジョブに最適化されている。
GitHub Actions、YAML anchorsとJob check run ID
GitHub ActionsでYAML anchorsのサポート、non-public .githubリポジトリからのworkflow templates利用、job check run IDの追加が行われた。
Gemini CLI GitHub Actionsがベータ版としてリリース
リポジトリ向けのAIコーディングアシスタント「Gemini CLI GitHub Actions」がベータ版としてリリースされた。このツールは、GitHubリポジトリ上でコーディングの定型タスクを自動化するエージェント、およびオンデマンドでタスクを委任できるコラボレーターとして機能する。利用は無料。
GitHub Actions新REST APIとwindows-latest移行告知
GitHub Actionsで設定管理用の新しいREST APIが公開され、フォークPRワークフローの承認設定、プライベートリポジトリでのフォークPRワークフロー許可、セルフホストランナー作成権限、アーティファクト・ログ保持期間の設定をプログラム的に管理可能になった。Enterprise、組織、リポジトリレベルで利用でき、手動レビューの必要性を大幅削減。またwindows-latestラベルが9月2日から9月30日にかけてWindows Server 2022から2025へ段階的に移行予定で、新イメージではツール構成が異なる可能性があるため事前確認が推奨される。 ### 参考文献
GitHub Actions、M2 Pro 搭載 macOS XLarge runner の提供開始
GitHub Actions で M2 Pro 搭載の macOS XLarge hosted runner がパブリックプレビューで利用可能になった。5vCPU M2 Pro マシンで、5 コア CPU、8 コア GPU、14GB RAM、14GB ストレージを搭載。
GitHub Actions、macos-latest が 8 月 4 日から macOS 15 に移行開始
GitHub Actions で macOS hosted runner に関する変更が発表された。
GitHub Actions の fine-grain 権限設定がカスタムリポジトリロールに提供
GitHub Actions の fine-grain 権限設定がカスタムリポジトリロールで正式に利用可能になった。
GitHub Models が GitHub Actions のトークンを利用できるように
GitHub Models で、GitHub Actions のGITHUB_TOKENを使用してリクエストを認証する機能が一般利用可能に。これにより、AI 機能をアクションに直接統合し、個人用アクセストークン(PATs)の生成と管理が不要に。AI を活用した GitHub Actions の作成と共有がこれまで以上に簡単に。ワークフローに AI を組み込むことで、課題コメントの生成やプルリクエストのレビューなどを効率化。 ### 参考文献
GitHub Actions で macOS 15 と Windows 2025 イメージの一般提供開始
GitHub Actions で macOS 15 と Windows 2025 のイメージが一般提供開始された。 ### 参考文献
Notification of upcoming breaking changes in GitHub Actions
古い GitHub Actions のキャッシュサービスが、2025 年 4 月 15 日に完全にオフになる。 また、2025 年 4 月 1 日以降、deployment 権限が変更される。 今までは deployment: read でデプロイメントのレビュー、承認、拒否が可能だったが、 2025 年 4 月 1 日以降は、deployment: write が要求される。 ### 参考文献
actions/cache v1-v2 deprecation
Github Actions のactions/cache v1-v2 が非推奨になりました。 2025 年 2 月 1 日より、Actions のキャッシュストレージは新しいアーキテクチャに移行するため、actions/cache の v1-v2 は廃止されます。