先頭を 駆くる者には 落とし穴 ハマっては埋め ハマっては埋め
どうも、かわしんです。昨日サイボウズ株式会社で開催された「GitHub Actions Meetup Tokyo β」という非公式の Github Actions の勉強会で LT をしてきました。
発表スライドはこれです。
内容としては Github Actions のダメなところをディスるというものでしたが、会場に到着すると非公式のイベントなのに Github の中の人がいらっしゃっるというアクシデントがあり、平謝りしながら発表をすることになりました。
発表した内容は以前のこの記事の内容です。
Github Actions の一番のセキュリティ的な問題点として、バージョンを Git タグで指定しているため 3rd Party の Action が差し替えられる危険性があることを指摘しましたが、フィードバックでコミットハッシュを指定すれば差し替えられることはないということを聞きました。確かにその通りなので、fork せずにコミットハッシュを直に設定することでしのいでいこうと思います。
また、初めての試みとして一首詠んでから LT を始め、最後に一首詠んで締めてみましたがなかなかウケが良かったのがよかったです。
最後に発表中のツイートを引用して筆をおきたいと思います。
いきなり一句詠む大学生がきた #githubactions
— miyata (@miyajan) 2019年10月16日
感極まって一首 #githubactions
— 戸田広 (@hiroshitoda) 2019年10月16日
disがくるぞ...!! #githubactions
— 戸田広 (@hiroshitoda) 2019年10月16日
npmはsecretsで.npmrcに入れるだけだからGithubActionsでも問題なく出来る#GithubActions
— Naturalclar(Jesse K.) (@natural_clar) 2019年10月16日
アクションの差し替え問題は commit SHA 指定すれば安全なんじゃないかな。タグやブランチ指定は危険という認識。 #githubactions
— miyata (@miyajan) 2019年10月16日
3rd party の GitHub Action は僕は怖くて使えないなぁ(GitHub API が自由に使えてしまうので) #githubactions
— ドッグ (@Linda_pp) 2019年10月16日
面白そう #githubactions #エア参加
— ぱいん🍍 (@pineapplecandy) 2019年10月16日
3rd party actionはforkして自前のリポジトリにしよう #githubactions
— 戸田広 (@hiroshitoda) 2019年10月16日
そうね。なので3rd Party Actionは基本的にバージョン番号じゃなくてコミットハッシュ値指定で使うのがよさそう。 #githubactions
— Hideki Igarashi (@ganta0087) 2019年10月16日
サードパーティの扱い、むずかC#githubactions
— Shoma Okamoto (@shmokmt) 2019年10月16日
セマンティクスバージョニングは publish する側ががんばらないといけないのめんどいですよね。よいアクションができて定型化されると嬉しい。 #githubactions
— miyata (@miyajan) 2019年10月16日
jobs.<job_id>.services は実行コマンドを注入できない、設定ファイルの注入もできない、何か細かいことやりたければ継承したDockerイメージを独自に作って使おう #githubactions
— 戸田広 (@hiroshitoda) 2019年10月16日
serviceにDockerfile指定できないのかな #githubactions
— Shinya Sakemoto @技術書典7(い17C) (@sakebook) 2019年10月16日
ここで一句よすぎる #githubactions
— はやぶさ (@haya14busa) 2019年10月16日
一句詠むのが素敵w #githubactions
— Hideki Igarashi (@ganta0087) 2019年10月16日
Docker hubに公開するところは、こちらもまだβですがGithub Package Registryを使えばGithubの中だけ完結できそう #githubactions
— Kenta.Kase (@Kesin11) 2019年10月16日