この記事はReplay.fm Advent Calendarの7日目の記事です。前日の記事は@sota1235の『記事紹介 / EDRはどうやって不審な挙動を発見するのか?』でした。
今日紹介する記事は『GitHub Actions でセキュアにコードを修正する』です。
Shunsuke Suzukiさんが作った csm-actions/securefix-action についての紹介記事です。
例によって詳細は元記事の方を読んで欲しいのですが、GitHub Actionsからコードを修正する仕組みは地味に考えることが多くて悩ましいやつです。securefix-actionは特に記事中でも言及されているSelf approveを防ぐのが難しいパターンに対するひとつの解決策です。
リポジトリを跨いで権限のレベルを落としてあげるやり方はよくできてるなぁと思いました。一方で `contents:write` を持たせる側の保護とかは(記事中でも詳細に解説されているものの)自分たちで考える必要があるため、中身に対する一定の理解がないとそもそも適切に恩恵を受けるのも難しいのかもしれません。でもそういう層向けにはautofix.ciがあるから大丈夫なわけで、非常にいいバランスだなーとも思います。
GitHub Actionsからのコード修正にお困りの方、未読であればぜひ読んでみてください。