security: サプライチェーンハードニング対応(提案・自動生成)#962
Conversation
…ed-By: Claude Opus 4.8 <noreply@anthropic.com>
…Claude Opus 4.8 <noreply@anthropic.com>
|
Important Review skippedDraft detected. Please check the settings in the CodeRabbit UI or the ⚙️ Run configurationConfiguration used: Organization UI Review profile: CHILL Plan: Pro Run ID: You can disable this status message by setting the Use the checkbox below for a quick retry:
✨ Finishing Touches🧪 Generate unit tests (beta)
Thanks for using CodeRabbit! It's free for OSS, and your support helps us grow. If you like it, consider giving us a shout-out. Comment |
Codecov Report✅ All modified and coverable lines are covered by tests. Additional details and impacted files@@ Coverage Diff @@
## master #962 +/- ##
=======================================
Coverage 96.95% 96.95%
=======================================
Files 15 15
Lines 493 493
Branches 116 116
=======================================
Hits 478 478
Misses 15 15 ☔ View full report in Codecov by Sentry. 🚀 New features to boost your workflow:
|
Important
これは自動生成された「対応提案」PR です。
CI/サプライチェーンのハードニングを進めやすくするために機械的に変更を加えています。
変更内容が正しいか・CI が通るかは必ずメンテナご自身でご確認ください。 誤検出や、このリポジトリの文脈では不要な変更が含まれている可能性があります。不要なものは部分的に revert/close いただいて構いません。
traPtitech org 全体のセキュリティ監査に基づく提案です。
適用した変更
✅ GitHub Actions を commit SHA で固定(18 箇所)
タグ/ブランチ参照は可変で付け替えられ得るため、不変な commit SHA に固定しました(pinact を使用)。
# vXコメントを残しているので Dependabot / Renovate は引き続き自動更新できます。✅ package.json を厳密バージョンに固定(27 依存)
^/~レンジを外し、現在の lockfile で解決されているバージョンに固定しました(npm ci/yarn installはそのまま通ります)。確認のお願い
npm ci/yarn installが通ることを確認した参考
github-actions)・Renovate(helpers:pinGitHubActionDigests)でも自動更新できます🤖 この PR は traPtitech org セキュリティ監査の一環として自動生成されました。