#Security/Authentication GitHub App の User Access Token をローカル開発向けに発行する CLI。Device Flow で認証し、8 時間で失効する短命トークンを払い出すことで、長命トークン（PAT や gh auth login の OAuth トークン）が漏洩した際のリスクを抑える 特徴 発行するのは User Access Token で、操作は App ではなくユーザー本人の権限・名義で行われる GitHub App の Client ID のみで動作し secret は不要。失効後は ghtkn get が Device Flow で自動再発行する トークンは OS の資格情報ストア（macOS Keychain / Windows Credential Manager / GNOME Keyring）に保存し、期限まで再利用する https://github.com/suzuki-shunsuke/ghtkn

#Continuous Integration GitHub Actions の workflow 内で GitHub App のインストールアクセストークンを発行する公式 Action actions/create-github-app-token。App の ID と private key を渡すと、対象を絞ったトークンを払い出す 特徴 発行されるインストールトークンは 1 時間で失効する短命トークン。post step で自動 revoke され、明示しない限り他 job へは渡らない owner / repositories でアクセス先リポジトリを限定し、権限を細かく絞れる デフォルトの GITHUB_TOKEN（権限が制限的で後続 CI をトリガできない）や PAT の代替として使い、GitHub App の bot 名義で commit / comment できる https://github.com/actions/create-github-app-token

#Security/Authentication GitHub の機能を拡張するために作る integration の一種。アカウントにインストールして使い、付与した権限の範囲で動く。ユーザー本人に紐づく PAT と異なり、独立した主体として振る舞う サードパーティツールを GitHub と連携させる際の install 先として使うのが典型。App の ID と private key で認証し、短命のインストールアクセストークンを払い出すこともできる。 https://docs.github.com/en/apps/creating-github-apps/about-creating-github-apps/about-creating-github-apps

#Security npmパッケージ@bitwarden/cli@2026.4.0がマルウェア混入により侵害されたサプライチェーン攻撃事例 多段ペイロード構成 Stage1: bw_setup.jsがBunランタイムをDL Stage2: 難読化された9.7MBのbw1.jsが認証情報を窃取 Stage3-4: audit[.]checkmarx.cxへ暗号化送信、GitHubへフォールバック 発火点: npm install時のpreinstallフック、およびbwコマンド実行時 窃取対象: SSH鍵 / GitHub PAT / npmトークン / クラウド資格情報 / ~/.claude.json等のAI設定 / .env 対策: 2026.4.1へ更新、資格情報ローテーション、npm ci --ignore-scripts、min-release-ageの設定 https://blog.flatt.tech/entry/bitwarden_compromise ブログ

#Security GitHub Actionsの人気 action changed-files が侵害されたサプライチェーン攻撃事例 CVE-2025-30066 発覚: 2025-03-14 09:00 PT (16:00 UTC)、StepSecurity が Harden-Runner の挙動監視で検知 侵害手法: @tj-actions-bot の PAT が奪取（取得経路は不明） リポジトリ外で作成した malicious commit (0e58ed86...) に全タグを retroactively 付け替え（tag 移動による action 汚染の典型） ペイロード: Python script が /proc/[pid]/mem 経由で GitHub Actions runner プロセスのメモリから secrets を dump、log に double base64 で出力 影響: 23,000+ リポジトリ。compromise 窓は約 37 時間 (2025-03-14 16:00 UTC 〜 2025-03-15 22:00 UTC)。public repo の log は誰でも読めるため secrets 漏洩 復旧: 2025-03-15 22:00 UTC に GitHub がリポジトリを復旧、その後 v46.0.1 リリース 対処: step-security/changed-files@v45 等への切替、または SHA pin 化、漏洩可能性ある secrets を rotate https://www.stepsecurity.io/blog/harden-runner-detection-tj-actions-changed-files-action-is-compromised ブログ

#Continuous Integration GitHub Actions が各 workflow run の開始時に自動発行する組み込みトークン。secrets.GITHUB_TOKEN または github.token で参照でき、その run 内で GitHub API / Git 認証に使う 実体は github-actions[bot] という GitHub App のインストールアクセストークンで、job が終わると失効する短命トークン（最長 24 時間） 特徴 権限は workflow の permissions キーで制御し、最小権限の付与が推奨される 権限のスコープは workflow が置かれたリポジトリに限定される GITHUB_TOKEN で起こしたイベントは新たな workflow run をトリガしない（再帰実行の防止）。このため bot 起点で後続 CI を回すには GitHub App トークンや PAT が必要になる https://docs.github.com/en/actions/security-for-github-actions/security-guides/automatic-token-authentication