Skip to main content

セキュリティ ガイド

GitHub Actions のセキュリティ強化と推奨事項。

GitHub Actions のセキュリティ強化

GitHub Actions の機能を使用するための適切なセキュリティプラクティス。

GitHub Actions でのシークレットの使用

シークレットは、機密情報を組織、リポジトリ、リポジトリ環境に格納できるようにします。

GitHub のセキュリティ機能を使用して GitHub Actions の使用をセキュリティで保護する

GitHubには、実行して発行するアクションのセキュリティを強化できるセキュリティ機能がいくつかあります。

自動トークン認証

GitHub では、GitHub Actions の代理で認証を受けるために使用できるトークンが提供されます。

成果物の構成証明を使用してビルドの実績を確立します

アーティファクト構成証明を使用すると、ソフトウェアがビルドされた場所と方法を確立し、ビルドのサプライ チェーンのセキュリティを強化できます。

Kubernetes アドミッション コントローラーを使用したアーティファクト構成証明の適用

アドミッション コントローラーを使用して、Kubernetes クラスターでアーティファクトの構成証明を適用します。

成果物の構成証明と再利用可能なワークフローを使用して SLSA v1 ビルド レベル 3 を実現する

再利用可能なワークフローと成果物の構成証明を使用してソフトウェアを構築することで、サプライ チェーンのセキュリティを合理化し、SLSA v1.0 ビルド レベル 3 を達成するのに役立ちます。

Verifying attestations offline

Artifact attestations can be verified without an internet connection.