security: サプライチェーンハードニング対応(提案・自動生成)#1051
Conversation
…ed-By: Claude Opus 4.8 <noreply@anthropic.com>
…pus 4.8 <noreply@anthropic.com>
|
Important Review skippedDraft detected. Please check the settings in the CodeRabbit UI or the ⚙️ Run configurationConfiguration used: Organization UI Review profile: CHILL Plan: Pro Run ID: You can disable this status message by setting the Use the checkbox below for a quick retry:
✨ Finishing Touches🧪 Generate unit tests (beta)
Thanks for using CodeRabbit! It's free for OSS, and your support helps us grow. If you like it, consider giving us a shout-out. Comment |
Codecov Report✅ All modified and coverable lines are covered by tests. Additional details and impacted files@@ Coverage Diff @@
## v2 #1051 +/- ##
========================================
- Coverage 6.18% 6.16% -0.03%
========================================
Files 136 136
Lines 18278 18278
========================================
- Hits 1131 1127 -4
- Misses 17080 17084 +4
Partials 67 67 ☔ View full report in Codecov by Sentry. 🚀 New features to boost your workflow:
|
Important
これは自動生成された「対応提案」PR です。
CI/サプライチェーンのハードニングを進めやすくするために機械的に変更を加えています。
変更内容が正しいか・CI が通るかは必ずメンテナご自身でご確認ください。 誤検出や、このリポジトリの文脈では不要な変更が含まれている可能性があります。不要なものは部分的に revert/close いただいて構いません。
traPtitech org 全体のセキュリティ監査に基づく提案です。
適用した変更
✅ GitHub Actions を commit SHA で固定(20 箇所)
タグ/ブランチ参照は可変で付け替えられ得るため、不変な commit SHA に固定しました(pinact を使用)。
# vXコメントを残しているので Dependabot / Renovate は引き続き自動更新できます。✅ Docker ベースイメージを digest 固定(4 箇所)
信頼できる発行元(Docker 公式 / distroless / ghcr.io/traPtitech 等)の可変タグに
@sha256:...を付与しました。golang:1.26.1-alpine(Dockerfile)alpine:3.23.3(Dockerfile)golang:1.26.1-alpine(Dockerfile.dev)mariadb:10.11.4(compose.yml)確認のお願い
参考
github-actions)・Renovate(helpers:pinGitHubActionDigests)でも自動更新できます🤖 この PR は traPtitech org セキュリティ監査の一環として自動生成されました。