GitHub、ワークフローで必要な権限を監視・推奨するツールをベータ公開

今回は「GitHub、ワークフローで必要な権限を監視・推奨するツールをベータ公開」についてご紹介します。

関連ワード （ソフトウェア等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　GitHubは米国時間6月26日、「GitHub Actions」のワークフローを監視し、実行に必要な最小限の権限を推奨するツール「actions-permissions」のパブリックベータ版を提供した。

　ワークフローが受け取る一時的なリポジトリーアクセストークン「GITHUB_TOKEN」は当初、リポジトリーへの読み取りと書き込み（フォークからのプルリクエストを除く）を含む広範囲な権限セットが与えられていた。2021年により細かな権限モデルがワークフロートークンに導入され、現在、新しいリポジトリーと組織の権限はデフォルトで読み取り専用に設定されている。しかし、write-allトークンを使用しているワークフローが数多くあるという。

　設定をread-onlyに変更することはセキュリティ上のベストプラクティスだが、それにより、write-all権限で現在とりあえず動作している既存のワークフローを壊してしまう可能性があるとGitHubは述べる。全てのワークフローにあるレポジトリーにケースバイケースで最小特権のセキュリティ原則を適用し、必要最小限のアクセス権限を割り当てることも破壊的な変更になる可能性がある。これは、複雑なワークフローには複数のアクションが含まれる可能性があり、ワークフローが適切に機能するために必要な権限を見逃しやすくなるためだという。

　ワークフローのトークンを最小権限モデルへと移行することを容易にするため、GitHubは、ワークフローで必要な権限を監視・列挙するGitHub Actionsを提供した。

　「Monitor」アクションは、第三者に情報を送信しないローカルプロキシーをワークフローランナーにインストールし、ワークフローによって開始されるGitHub APIのインタラクションについて情報を収集し、ワークフローランナーサマリーの一部として推奨される最小の権限を表示する。

　「Advisor」アクションは、ローカルツールとしても使用でき、ワークフローを複数回実行することで得られる推奨を要約する。

　ワークフローで推奨される権限を適用した後はツールの使用を停止できる。ワークフローを将来的に繰り返すために新たに必要とされる権限を必要に応じて追加することもできるという。