「GitHub Actions」のワークフローを監視、必要な最小権限を推奨するツールがパブリックβ版にワークフロートークンの最小権限モデルへの移行を支援

GitHubは、「GitHub Actions」のワークフローを監視し、実行に必要な最小権限を推奨するツール「actions-permissions」のパブリックβ版をリリースした。

» 2023年06月29日 08時00分 公開
[@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 GitHubは2023年6月26日(米国時間)、「GitHub Actions」のワークフローを監視し、実行に必要な最小権限を推奨するツール「actions-permissions」のパブリックβ版をリリースした。

 GitHubワークフローは全て、一時的なリポジトリアクセストークン(GITHUB_TOKEN)を受け取る。以前はこれらのトークンは広範な権限セットを持ち、リポジトリに対する完全な読み書きが可能だった(フォークからのプルリクエストを除く)。だが、2021年にワークフロートークンの詳細な権限モデルが導入され、これらのトークンの既定の権限は現在、新しいリポジトリと組織では読み取り専用に設定されている。

 だが、かなりの数のワークフローが、実際には書き込み権限が不要であるにもかかわらず、既定のワークフロー権限設定により、依然として書き込みトークンを使用している。

 ワークフロートークンで広範な既定の権限を使用しているかどうかをチェックしたい場合は、次のように、リポジトリ(または組織)の設定画面から「actions」(アクション)を選択し、「Workflow permissions」(ワークフロー権限)セクションをチェックする。

リポジトリのワークフロー権限の設定画面(提供:GitHub)

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

AI for エンジニアリング
「サプライチェーン攻撃」対策
1P情シスのための脆弱性管理/対策の現実解
OSSのサプライチェーン管理、取るべきアクションとは
Microsoft & Windows最前線2024
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。