GitHub、ワークフローで必要な権限を監視・推奨するツールをベータ公開

河部恭紀 (編集部)

2023-06-27 12:42

 GitHubは米国時間6月26日、「GitHub Actions」のワークフローを監視し、実行に必要な最小限の権限を推奨するツール「actions-permissions」のパブリックベータ版を提供した

 ワークフローが受け取る一時的なリポジトリーアクセストークン「GITHUB_TOKEN」は当初、リポジトリーへの読み取りと書き込み(フォークからのプルリクエストを除く)を含む広範囲な権限セットが与えられていた。2021年により細かな権限モデルがワークフロートークンに導入され、現在、新しいリポジトリーと組織の権限はデフォルトで読み取り専用に設定されている。しかし、write-allトークンを使用しているワークフローが数多くあるという。

 設定をread-onlyに変更することはセキュリティ上のベストプラクティスだが、それにより、write-all権限で現在とりあえず動作している既存のワークフローを壊してしまう可能性があるとGitHubは述べる。全てのワークフローにあるレポジトリーにケースバイケースで最小特権のセキュリティ原則を適用し、必要最小限のアクセス権限を割り当てることも破壊的な変更になる可能性がある。これは、複雑なワークフローには複数のアクションが含まれる可能性があり、ワークフローが適切に機能するために必要な権限を見逃しやすくなるためだという。

 ワークフローのトークンを最小権限モデルへと移行することを容易にするため、GitHubは、ワークフローで必要な権限を監視・列挙するGitHub Actionsを提供した。

 「Monitor」アクションは、第三者に情報を送信しないローカルプロキシーをワークフローランナーにインストールし、ワークフローによって開始されるGitHub APIのインタラクションについて情報を収集し、ワークフローランナーサマリーの一部として推奨される最小の権限を表示する。

画像
2
出典:GitHub

 「Advisor」アクションは、ローカルツールとしても使用でき、ワークフローを複数回実行することで得られる推奨を要約する。

画像
2
出典:GitHub

 ワークフローで推奨される権限を適用した後はツールの使用を停止できる。ワークフローを将来的に繰り返すために新たに必要とされる権限を必要に応じて追加することもできるという。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    Google Chrome Enterprise が実現するゼロトラスト セキュリティの最新実情

  2. ビジネスアプリケーション

    ITSMに取り組むすべての人へ、概要からツールによる実践まで解説、「ITSMクイックスタートガイド」

  3. ビジネスアプリケーション

    業務マニュアル作成の課題を一気に解決へ─AIが実現する確認と修正だけで完了する新たなアプローチ

  4. ビジネスアプリケーション

    ITSMの手法を組織全体に拡張、エンタープライズサービス管理(ESM)がもたらすメリット

  5. セキュリティ

    身元確認は撮影方式からICチップ読取方式へ、公的個人認証(JPKI)が必要な理由とは

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]