#Security #Continuous Integration
GitHub Actions の action / reusable workflow の参照を full-length commit SHA に pin する CLI(@suzuki-shunsuke 製)。タグは可変で改ざんの余地があり、SHA 固定だけが不変なリリース参照になる、というサプライチェーン攻撃対策。
pinact runで参照を SHA に pin(# v3.5.1のバージョンコメント付き)。--updateで更新、整合の検証にも対応--no-apiで API なしの構文チェック、--min-ageでリリース直後の参照を弾く