Kush's Wiki
suzuki-shunsuke
@suzuki-shunsuke
GitHub Actions
/
サプライチェーン攻撃
対策 / 開発ツールまわりの OSS を多数手がける開発者(プラットフォームエンジニア)。CI セキュリティと開発体験の改善が軸。
Loading...
Fetching description...
人物
ghtkn
#Security/Authentication GitHub App の User Access Token をローカル開発向けに発行する CLI(@suzuki-shunsuke 製)。Device Flow で認証し、8 時間で失効する短命トークンを払い出すことで、長命トークン(PAT や gh auth login の OAuth トークン)が漏洩した際のリスクを抑える 特徴 発行するのは User Access Token で、操作は App ではなくユーザー本人の権限・名義で行われる GitHub App の Client ID のみで動作し secret は不要。失効後は ghtkn get が Device Flow で自動再発行する トークンは OS の資格情報ストア(macOS Keychain / Windows Credential Manager / GNOME Keyring)に保存し、期限まで再利用する https://github.com/suzuki-shunsuke/ghtkn
aqua
#Programming CLIツール専用の宣言的バージョンマネージャー。Go製、@suzuki-shunsuke による aqua.yamlでツールとバージョンを宣言的に管理 GitHub Releasesからバイナリを自動取得 Lazy Install: 実行時に必要なツールを自動インストール Checksum検証、Cosign/SLSA Provenance対応 https://aquaproj.github.io/ https://github.com/aquaproj/aqua
pinact
#Security #Continuous Integration GitHub Actions の action / reusable workflow の参照を full-length commit SHA に pin する CLI(@suzuki-shunsuke 製)。タグは可変で改ざんの余地があり、SHA 固定だけが不変なリリース参照になる、というサプライチェーン攻撃対策。 pinact run で参照を SHA に pin(# v3.5.1 のバージョンコメント付き)。--update で更新、整合の検証にも対応 --no-api で API なしの構文チェック、--min-age でリリース直後の参照を弾く https://github.com/suzuki-shunsuke/pinact