GitHub Actions「えぇ、わかりますわかります!!」
GitHub Actions「JavaScript / TypeScript には ESLint!!最近は Oxlint も盛り上がってますね!!」
GitHub Actions「静的解析を通さないコードなんてあまりにも危なっかしくて実行できませんよね!!」
GitHub Actions「Go には golangci-lint!!Ruby には rubocop!!」
GitHub Actions「今後はさらに AI エージェントによって開発が爆速になっていく中で、ガードレールの一つとして機能する静的解析ツールはより一層重要になっていきますよね!!」
GitHub Actions「プログラミング言語だけではありません!!Dockerfile には Hadolint!!」
GitHub Actions「Trivy も Kubernetes マニフェストや Terraform 構成など幅広い範囲をカバーしています!!最近なんかやらかしてましたが、まぁいいでしょう!!よくない!!」
GitHub Actions「単なるコード品質だけではなく、セキュリティ品質を向上させるためにも静的解析ツールの運用は欠かせません!!」
GitHub Actions「え?そんな当たり前なこと今更話すことじゃない?ほんとですよね!!すみません!!」
GitHub Actions「Rust には Clippy!!Python には Ruff!!」
GitHub Actions「GitHub Actions ワークフロー定義には actionlint や zizmor!!!!」
GitHub Actions「......え?使ってないんですか?」
GitHub Actions「へぇ〜......。」
GitHub Actions「......。」
GitHub Actions「............。」
GitHub Actions「え、なんでですか?」
なぜなのか
ほんとなんでなんですかね。いや別に考察とかするつもりもモチベもないですけど。actionlint や zizmor などの GitHub Actions 向けの静的解析ツールを運用してるプロジェクトあんま見たことない。なんで?僕の観測範囲が狭すぎるだけか?
CI/CD はプロダクト本体のコードじゃないからそんなに気をつけなくていいとか思ってるんですかね。GitHub Actions 経由のセキュリティインシデントの事例なんて少し調べればすぐに出てきますが。先人たちの屍の山がそこら中に積まれているのが目に入らないんでしょうか?
Trivy の件については、「脆弱な pull_request_target ワークフロー経由の侵害」というのを見て「はぁ、またこのパターンですか」以外の感情が湧きませんでした。人類はいつになったら pull_request_target を安全に運用できるのか。
まとめ
という気持ちを持ちながら最近 GitHub Actions ワークフローの静的解析ツールを作り始めた。