#Security #Continuous Integration
Cilium を題材に CI/CD 依存の固定・審査戦略を解説した CNCF ブログ記事(全3回の第2回)
- GitHub Actions の SHA pin: タグではなく 40 字コミット SHA で参照し、tag 書き換えによるサプライチェーン攻撃を防ぐ
- Renovate 自動更新:
pinGitHubActionDigestspreset で SHA を自動管理、minimumReleaseAge 5 日クールダウンで公開直後の悪意バージョンを回避 - Go ベンダリング:
vendor/をリポジトリに commit し CI でgo.mod/go.sumを検証、proxy 改ざんをレビュー可視に - actionlint で pin 漏れ・runner image タグ未固定を検出
- CODEOWNERS で
vendor/変更者を限定し依存変更の承認ゲートを構築