Skip to content

security: サプライチェーンハードニング対応(提案・自動生成)#5164

Closed
kaitoyama wants to merge 3 commits into
masterfrom
security/supply-chain-hardening
Closed

security: サプライチェーンハードニング対応(提案・自動生成)#5164
kaitoyama wants to merge 3 commits into
masterfrom
security/supply-chain-hardening

Conversation

@kaitoyama

Copy link
Copy Markdown
Contributor

Important

これは自動生成された「対応提案」PR です。
CI/サプライチェーンのハードニングを進めやすくするために機械的に変更を加えています。
変更内容が正しいか・CI が通るかは必ずメンテナご自身でご確認ください。 誤検出や、このリポジトリの文脈では不要な変更が含まれている可能性があります。不要なものは部分的に revert/close いただいて構いません。

traPtitech org 全体のセキュリティ監査に基づく提案です。

適用した変更

✅ GitHub Actions を commit SHA で固定(46 箇所)

タグ/ブランチ参照は可変で付け替えられ得るため、不変な commit SHA に固定しました(pinact を使用)。# vX コメントを残しているので Dependabot / Renovate は引き続き自動更新できます

✅ Docker ベースイメージを digest 固定(2 箇所)

信頼できる発行元(Docker 公式 / distroless / ghcr.io/traPtitech 等)の可変タグに @sha256:... を付与しました。

  • node:25.7.0-alpineDockerfile
  • caddy:2.10.0-alpineDockerfile

✅ package.json を厳密バージョンに固定(85 依存)

^/~ レンジを外し、現在の lockfile で解決されているバージョンに固定しました(npm ci / yarn install はそのまま通ります)。

  • ⚠️ 現在オープン中の Dependabot PR とコンフリクトする可能性があります。レンジ運用を継続したい場合は この package.json 固定のコミットだけ revert いただいて構いません(CI 固定とは別コミットにしています)。

確認のお願い

  • CI が通ることを確認した
  • npm ci / yarn install が通ることを確認した

参考

  • SHA pinning: pinact / Dependabot(github-actions)・Renovate(helpers:pinGitHubActionDigests)でも自動更新できます
  • Docker Hardened Images

🤖 この PR は traPtitech org セキュリティ監査の一環として自動生成されました。

@coderabbitai

coderabbitai Bot commented Jun 3, 2026

Copy link
Copy Markdown

Important

Review skipped

Draft detected.

Please check the settings in the CodeRabbit UI or the .coderabbit.yaml file in this repository. To trigger a single review, invoke the @coderabbitai review command.

⚙️ Run configuration

Configuration used: Organization UI

Review profile: CHILL

Plan: Pro

Run ID: b1489cf7-8ca0-430f-9bee-c8b4d4f57e5e

You can disable this status message by setting the reviews.review_status to false in the CodeRabbit configuration file.

Use the checkbox below for a quick retry:

  • 🔍 Trigger review
✨ Finishing Touches
🧪 Generate unit tests (beta)
  • Create PR with unit tests
  • Commit unit tests in branch security/supply-chain-hardening

Thanks for using CodeRabbit! It's free for OSS, and your support helps us grow. If you like it, consider giving us a shout-out.

❤️ Share

Comment @coderabbitai help to get the list of available commands and usage tips.

@github-actions

github-actions Bot commented Jun 3, 2026

Copy link
Copy Markdown

@codecov

codecov Bot commented Jun 3, 2026

Copy link
Copy Markdown

Codecov Report

✅ All modified and coverable lines are covered by tests.
✅ Project coverage is 62.43%. Comparing base (66b58a0) to head (b1f3834).

Additional details and impacted files
@@           Coverage Diff           @@
##           master    #5164   +/-   ##
=======================================
  Coverage   62.43%   62.43%           
=======================================
  Files         108      108           
  Lines        3109     3109           
  Branches      635      635           
=======================================
  Hits         1941     1941           
  Misses       1058     1058           
  Partials      110      110           

☔ View full report in Codecov by Sentry.
📢 Have feedback on the report? Share it here.

🚀 New features to boost your workflow:
  • ❄️ Test Analytics: Detect flaky tests, report on failures, and find test suite problems.
  • 📦 JS Bundle Analysis: Save yourself from yourself by tracking and limiting bundle sizes in JS merges.

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Labels

None yet

Projects

None yet

Development

Successfully merging this pull request may close these issues.

2 participants