security: サプライチェーンハードニング対応(提案・自動生成)#75
Conversation
…ed-By: Claude Opus 4.8 <noreply@anthropic.com>
…pus 4.8 <noreply@anthropic.com>
…Claude Opus 4.8 <noreply@anthropic.com>
|
Important Review skippedDraft detected. Please check the settings in the CodeRabbit UI or the ⚙️ Run configurationConfiguration used: Organization UI Review profile: CHILL Plan: Pro Run ID: You can disable this status message by setting the Use the checkbox below for a quick retry:
✨ Finishing Touches🧪 Generate unit tests (beta)
Thanks for using CodeRabbit! It's free for OSS, and your support helps us grow. If you like it, consider giving us a shout-out. Comment |
|
Preview (prod) → https://75-prod.rucq-admin-preview.trapti.tech/ |
Important
これは自動生成された「対応提案」PR です。
CI/サプライチェーンのハードニングを進めやすくするために機械的に変更を加えています。
変更内容が正しいか・CI が通るかは必ずメンテナご自身でご確認ください。 誤検出や、このリポジトリの文脈では不要な変更が含まれている可能性があります。不要なものは部分的に revert/close いただいて構いません。
traPtitech org 全体のセキュリティ監査に基づく提案です。
適用した変更
✅ GitHub Actions を commit SHA で固定(16 箇所)
タグ/ブランチ参照は可変で付け替えられ得るため、不変な commit SHA に固定しました(pinact を使用)。
# vXコメントを残しているので Dependabot / Renovate は引き続き自動更新できます。✅ Docker ベースイメージを digest 固定(2 箇所)
信頼できる発行元(Docker 公式 / distroless / ghcr.io/traPtitech 等)の可変タグに
@sha256:...を付与しました。node:22-alpine(Dockerfile)caddy:2-alpine(Dockerfile)✅ package.json を厳密バージョンに固定(35 依存)
^/~レンジを外し、現在の lockfile で解決されているバージョンに固定しました(npm ci/yarn installはそのまま通ります)。確認のお願い
npm ci/yarn installが通ることを確認した参考
github-actions)・Renovate(helpers:pinGitHubActionDigests)でも自動更新できます🤖 この PR は traPtitech org セキュリティ監査の一環として自動生成されました。