ci: pin actions/checkout and shivammathur/setup-php action to specific commit

[shimomo]

セキュリティ強化のために actions/checkout と shivammathur/setup-php のバージョンを特定のコミット SHA に固定しました。

Summary by CodeRabbit

• チャores
  • 定期実行および静的解析のワークフローで依存アクションを固定化し、ビルドの再現性を向上。
  • 外部アクションのバージョン揺れを排除し、予期せぬ変更によるCI不安定化を抑制。
  • 実行手順や挙動は従来どおりで、ユーザー向け機能への影響はなし。
  • セキュリティと信頼性を強化し、監査性と保守性を改善。

[coderabbitai]

Walkthrough

GitHub Actions の 2 つのワークフロー（cron.yml, psalm.yml）で、shivammathur/setup-php と actions/checkout の参照をバージョンタグから特定のコミット SHA に固定。その他の手順やロジックの変更はなし。

Changes

Cohort / File(s)	Change Summary
Workflow アクションの固定 .github/workflows/cron.yml, .github/workflows/psalm.yml	shivammathur/setup-php@v2 を @ec406be512d7077f68eed36e63f4d91bc006edc4 に、actions/checkout@v4 を @ff7abcd0c3c05ccf6adc123a8cd1fd4fb30fb493 に固定。ワークフローの他の手順・挙動は不変。

Estimated code review effort

🎯 2 (Simple) | ⏱️ ~10 minutes

Poem

ピンと跳ねて SHA にタッチ
風に揺れるタグは今日はお休み
きゅっ、と固定で夜も安心
CI の草原、足跡くっきり
ぴょんと署名、うさぎは満足 🐇✨

✨ Finishing Touches

🧪 Generate unit tests

• Create PR with unit tests
• Post copyable unit tests in a comment
• Commit unit tests in branch ci/pin-specific-commit

---

🪧 Tips

Chat

There are 3 ways to chat with CodeRabbit:

• Review comments: Directly reply to a review comment made by CodeRabbit. Example:
  • I pushed a fix in commit <commit_id>, please review it.
  • Open a follow-up GitHub issue for this discussion.
• Files and specific lines of code (under the "Files changed" tab): Tag @coderabbitai in a new review comment at the desired location with your query.
• PR comments: Tag @coderabbitai in a new PR comment to ask questions about the PR branch. For the best results, please provide a very specific query, as very limited context is provided in this mode. Examples:
  • @coderabbitai gather interesting stats about this repository and render them as a table. Additionally, render a pie chart showing the language distribution in the codebase.
  • @coderabbitai read the files in the src/scheduler package and generate a class diagram using mermaid and a README in the markdown format.

Support

Need help? Create a ticket on our support page for assistance with any issues or questions.

CodeRabbit Commands (Invoked using PR/Issue comments)

Type @coderabbitai help to get the list of available commands.

Other keywords and placeholders

• Add @coderabbitai ignore or @coderabbit ignore anywhere in the PR description to prevent this PR from being reviewed.
• Add @coderabbitai summary to generate the high-level summary at a specific location in the PR description.
• Add @coderabbitai anywhere in the PR title to generate the title automatically.

CodeRabbit Configuration File (.coderabbit.yaml)

• You can programmatically configure CodeRabbit by adding a .coderabbit.yaml file to the root of your repository.
• Please see the configuration documentation for more information.
• If your editor has YAML language server enabled, you can add the path at the top of this file to enable auto-completion and validation: # yaml-language-server: $schema=https://coderabbit.ai/integrations/schema.v2.json

Status, Documentation and Community

• Visit our Status Page to check the current availability of CodeRabbit.
• Visit our Documentation for detailed information on how to use CodeRabbit.
• Join our Discord Community to get help, request features, and share feedback.
• Follow us on X/Twitter for updates and announcements.

[coderabbitai]

Actionable comments posted: 0

🧹 Nitpick comments (2)

.github/workflows/cron.yml (1)

23-23: actions/checkout を公式リリースタグSHAに固定検討

• 現在の actions/checkout@ff7abcd0c3c05ccf6adc123a8cd1fd4fb30fb493 は Node.js 24 サポート要件を追加した upstream コミットですが、将来の main ブランチ更新の影響を受けないよう、以下いずれかのリリースタグSHAへ置き換えを推奨します:
  • v5: 08c6903cd8c0fde910a37f88322edcfb5dd907a8
  • v4.2.2: 11bd71901bbe5b1630ceea73d27597364c9af683
• Dependabot でワークフローファイルの Actions ピン更新を監視する運用もご検討ください。

.github/workflows/psalm.yml (1)

31-31: checkout の SHA 固定は妥当。より安定させるならリリースタグのコミット SHA へ

ff7abcd… は Node.js 24 要件の README 更新コミットです。自前ランナー併用時は Runner v2.327.1 以上を満たすことを確認してください。長期の安定運用には、v4（現行利用互換）または v5 の「リリースコミット SHA」に固定する方針を推奨します。(github.com)

上記（cron と同様）のスクリプトで該当タグのコミット SHA を取得し、置き換え可否をご確認ください。

📜 Review details

Configuration used: CodeRabbit UI

Review profile: CHILL

Plan: Pro

💡 Knowledge Base configuration:

• MCP integration is disabled by default for public repositories
• Jira integration is disabled by default for public repositories
• Linear integration is disabled by default for public repositories

You can enable these sources in your CodeRabbit configuration.

📥 Commits

Reviewing files that changed from the base of the PR and between 83a03bd and 61d4a66.

📒 Files selected for processing (2)

• .github/workflows/cron.yml (1 hunks)
• .github/workflows/psalm.yml (1 hunks)

🔇 Additional comments (2)

.github/workflows/cron.yml (1)

18-18: SHA ピン留め OK（setup-php 2.35.4 のコミットに一致）

ec406be… は upstream の「Bump version to 2.35.4」コミットで正当性を確認できました。PHP 8.4 は安定版としてサポートされています。(github.com)

.github/workflows/psalm.yml (1)

25-25: SHA ピン留め OK（setup-php 2.35.4 のコミットに一致）

ec406be… は upstream の 2.35.4 コミットで正しく固定されています。PHP 8.4 サポートも適合。(github.com)