Skip to content

security: サプライチェーンハードニング対応(提案・自動生成)#1051

Draft
kaitoyama wants to merge 2 commits into
v2from
security/supply-chain-hardening
Draft

security: サプライチェーンハードニング対応(提案・自動生成)#1051
kaitoyama wants to merge 2 commits into
v2from
security/supply-chain-hardening

Conversation

@kaitoyama

Copy link
Copy Markdown

Important

これは自動生成された「対応提案」PR です。
CI/サプライチェーンのハードニングを進めやすくするために機械的に変更を加えています。
変更内容が正しいか・CI が通るかは必ずメンテナご自身でご確認ください。 誤検出や、このリポジトリの文脈では不要な変更が含まれている可能性があります。不要なものは部分的に revert/close いただいて構いません。

traPtitech org 全体のセキュリティ監査に基づく提案です。

適用した変更

✅ GitHub Actions を commit SHA で固定(20 箇所)

タグ/ブランチ参照は可変で付け替えられ得るため、不変な commit SHA に固定しました(pinact を使用)。# vX コメントを残しているので Dependabot / Renovate は引き続き自動更新できます

✅ Docker ベースイメージを digest 固定(4 箇所)

信頼できる発行元(Docker 公式 / distroless / ghcr.io/traPtitech 等)の可変タグに @sha256:... を付与しました。

  • golang:1.26.1-alpineDockerfile
  • alpine:3.23.3Dockerfile
  • golang:1.26.1-alpineDockerfile.dev
  • mariadb:10.11.4compose.yml

確認のお願い

  • CI が通ることを確認した

参考

  • SHA pinning: pinact / Dependabot(github-actions)・Renovate(helpers:pinGitHubActionDigests)でも自動更新できます
  • Docker Hardened Images

🤖 この PR は traPtitech org セキュリティ監査の一環として自動生成されました。

@coderabbitai

coderabbitai Bot commented Jun 3, 2026

Copy link
Copy Markdown

Important

Review skipped

Draft detected.

Please check the settings in the CodeRabbit UI or the .coderabbit.yaml file in this repository. To trigger a single review, invoke the @coderabbitai review command.

⚙️ Run configuration

Configuration used: Organization UI

Review profile: CHILL

Plan: Pro

Run ID: fea1a3f3-b448-4b7f-9e69-cbf86576dd14

You can disable this status message by setting the reviews.review_status to false in the CodeRabbit configuration file.

Use the checkbox below for a quick retry:

  • 🔍 Trigger review
✨ Finishing Touches
🧪 Generate unit tests (beta)
  • Create PR with unit tests
  • Commit unit tests in branch security/supply-chain-hardening

Thanks for using CodeRabbit! It's free for OSS, and your support helps us grow. If you like it, consider giving us a shout-out.

❤️ Share

Comment @coderabbitai help to get the list of available commands and usage tips.

@codecov

codecov Bot commented Jun 3, 2026

Copy link
Copy Markdown

Codecov Report

✅ All modified and coverable lines are covered by tests.
✅ Project coverage is 6.16%. Comparing base (76c53b0) to head (68788e4).

Additional details and impacted files
@@           Coverage Diff            @@
##              v2   #1051      +/-   ##
========================================
- Coverage   6.18%   6.16%   -0.03%     
========================================
  Files        136     136              
  Lines      18278   18278              
========================================
- Hits        1131    1127       -4     
- Misses     17080   17084       +4     
  Partials      67      67              

☔ View full report in Codecov by Sentry.
📢 Have feedback on the report? Share it here.

🚀 New features to boost your workflow:
  • ❄️ Test Analytics: Detect flaky tests, report on failures, and find test suite problems.

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Labels

None yet

Projects

None yet

Development

Successfully merging this pull request may close these issues.

1 participant