GitHub Actions の式構文はスクリプトインジェクションの温床になる

はじめに GitHub Actions の actions/github-script や run: ブロックで ${{ }} を使うとき、多くの開発者がセキュリティリスクを見落としています。PR の自動タグ付けやリリースノート生成など、よくある CI ワークフローにもこのリスクは潜んでいます。 筆者が Go で書かれたコード生成ツールの CI ワークフローをセキ...

はじめに GitHub Actions の actions/github-script や run: ブロックで ${{ }} を使うとき、多くの開発者がセキュリティリスクを見落としています。PR の自動タグ付けやリリースノート生成など、よくある CI ワークフローにもこのリスクは潜んでいます。 筆者が Go で書かれたコード生成ツールの CI ワークフローをセキ...