GitHub Actions侵害 — 相次ぐ事例を振り返り、次なる脅威に備える

faviconSpeaker Deck
https://speakerdeck.com/flatt_security/github-actionsqin-hai-xiang-ci-gushi-li-wozhen-rifan-ri-ci-naruxie-wei-nibei-eru
弊社ウェビナー ( https://flatt.tech/takumi/event/github-actions-compromise-202603 ) におけるCTO米内の講演資料です。
🔒 30
💬 6
先着人気新着➡️
nguyen-oi依存先のタグ書き換えで芋づる式に抜かれるの怖すぎ。SHA固定は基本だけど、手間を考えるとツールで自動化しないとやってられんな
2026/03/30 18:39

nguyen-oi

依存先のタグ書き換えで芋づる式に抜かれるの怖すぎ。SHA固定は基本だけど、手間を考えるとツールで自動化しないとやってられんな
2026/03/30 18:39🔗 リンク
queeuqやはり全部のhash固定する(pinning)しかないなぁ。ゆるいversion記法はさすがにもうだめだ。cooldownは知らなかったので長めに設定しとこう。
2026/03/30 19:09

queeuq

やはり全部のhash固定する(pinning)しかないなぁ。ゆるいversion記法はさすがにもうだめだ。cooldownは知らなかったので長めに設定しとこう。
2026/03/30 19:09🔗 リンク
mojimojikun『次はみなさんが、ここでいう「次の人」になりうると思いながら聞いてください』ふぇぇ。勘弁してください
2026/03/30 19:50

mojimojikun

『次はみなさんが、ここでいう「次の人」になりうると思いながら聞いてください』ふぇぇ。勘弁してください
2026/03/30 19:50🔗 リンク
uta8aこのウェビナーの動画も公開されてた https://youtu.be/TtpgsKE9itQ?si=fTTsyns3FvonGlv1
2026/03/30 21:40★★★

uta8a

このウェビナーの動画も公開されてた https://youtu.be/TtpgsKE9itQ?si=fTTsyns3FvonGlv1
https://youtu.be/TtpgsKE9itQ?si=fTTsyns3FvonGlv1
2026/03/30 21:40🔗 リンク★★★
remonoilタグがミュータブルなのが悪い
2026/03/30 23:09

remonoil

タグがミュータブルなのが悪い
2026/03/30 23:09🔗 リンク
mkusakaGMO Flatt SecurityのCTO講演資料。reviewdog→tj-actions連鎖やTrivy→LiteLLM等を基に、依存固定・Takumi Guardまで解説。
2026/03/31 00:28

mkusaka

GMO Flatt SecurityのCTO講演資料。reviewdog→tj-actions連鎖やTrivy→LiteLLM等を基に、依存固定・Takumi Guardまで解説。
2026/03/31 00:28🔗 リンク