米GitHubは、GitHub Actionsのワークフローを監視し、ワークフローの実行に必要な最小限の権限を割り当てるためのツール「actions-permissions」のパブリックベータ版を、6月26日(現地時間)に公開している。
すべてのGitHubワークフローは、一時的なリポジトリアクセストークン(GITHUB_TOKEN)を受け取る仕組みとなっているが、同トークンにはかつてリポジトリへの完全な読み書きを可能にする広範な権限が付与されていた。
しかし、2021年にワークフロートークンにより詳細な権限モデルが導入されたことによって、現在は新たなリポジトリと組織のデフォルト権限が、読み取り専用に設定されている。一方で、現時点でも多くのワークフローが、動作には必ずしも必要のない書き込み権限をデフォルトで付与された状態のままである。
トークンの権限は、リポジトリまたは組織の設定からactionsへ移動し、「Workflow permissions」にて確認できる。ここで、設定を「読み取りのみ」に設定することがセキュリティ的にはもっとも望ましいが、現状の権限で正常に動作しているワークフローを破壊する可能性もある。そのため、トークンに必要最小限のアクセス権限を割り当てることも1つの手となるが、複雑なワークフローには複数のActionが含まれることから、手動での権限変更は困難といえる。
今回、パブリックベータ版が公開されたactions-permissionsによって、ワークフローランナーに(第三者には情報が送信されない)ローカルプロキシがインストールされ、ワークフローによって開始されたGitHub APIインタラクションに関する情報を収集する。
さらに、収集した情報に基づいて、ワークフローの実行に必要となる最小限の権限が提案されるため、ワークフローの適切な権限の割り当てに役立つ。
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
