## 背景 audit-actions のスコープを「Action 周辺セキュリティ(B)」に絞る方針を決定。 ワークフロー全般のセキュリティ(C)は別スキルとして切り出し、静的解析ツールの **導入支援** に徹する。 ## 設計方針 ### やること - CI に workflow-lint.yml がなければテンプレートを提供 - actionlint / ghalint / zizmor の推奨バージョン・SHA 情報を提示 - `.ghalint.yml` / `zizmor.yml` の初期設定テンプレート - 3ツールの役割分担を説明(構文 / ポリシー / 攻撃パターン) - `gh attestation verify` パターンの紹介 ### やらないこと - zizmor/ghalint のチェックルールを再実装しない(ツール更新追従問題を回避) - ワークフローの個別セキュリティ指摘はツール自体に任せる ## スキル構成案 ``` skills/ harden-workflows/ SKILL.md references/ workflow-lint-template.md ``` ## トリガーフレーズ案 - "harden workflows", "harden CI" - "add workflow linting", "setup actionlint" - "add zizmor", "add ghalint" - "secure my GitHub Actions", "workflow security setup" - "static analysis for workflows" ## Cross-skill ハンドオフ - `audit-actions` → 「ワークフロー全般のセキュリティ強化には harden-workflows スキルを使ってください」 - `harden-workflows` → 「Action の SHA ピン留めには pin-actions、バージョンアップには upgrade-actions を使ってください」 ## 関連 - #25 (audit-actions スコープ明文化) - PR #21, #22 (自リポの workflow-lint.yml 実装がテンプレートのベース)
背景
audit-actions のスコープを「Action 周辺セキュリティ(B)」に絞る方針を決定。
ワークフロー全般のセキュリティ(C)は別スキルとして切り出し、静的解析ツールの 導入支援 に徹する。
設計方針
やること
.ghalint.yml/zizmor.ymlの初期設定テンプレートgh attestation verifyパターンの紹介やらないこと
スキル構成案
トリガーフレーズ案
Cross-skill ハンドオフ
audit-actions→ 「ワークフロー全般のセキュリティ強化には harden-workflows スキルを使ってください」harden-workflows→ 「Action の SHA ピン留めには pin-actions、バージョンアップには upgrade-actions を使ってください」関連