概要
ステージング・本番環境デプロイワークフロー(.github/workflows/deploy_ecs_staging_stationapi.yml および .github/workflows/deploy_ecs_production_stationapi.yml)において、GitHub Actions の uses: 参照がバージョンタグ(@v*)で固定されています。コミット SHA に固定することで、確定的・再現可能なデプロイが実現され、セキュリティリスクが低減されます。
対応箇所
.github/workflows/deploy_ecs_staging_stationapi.yml
以下の5箇所を対応するコミット SHA に変更してください:
- 32行目:
actions/checkout@v4 → actions/checkout@<commit-sha>
- 37行目:
aws-actions/configure-aws-credentials@v4 → aws-actions/configure-aws-credentials@<commit-sha>
- 45行目:
aws-actions/amazon-ecr-login@v2 → aws-actions/amazon-ecr-login@<commit-sha>
- 63行目:
aws-actions/amazon-ecs-render-task-definition@v1 → aws-actions/amazon-ecs-render-task-definition@<commit-sha>
- 70行目:
aws-actions/amazon-ecs-deploy-task-definition@v2 → aws-actions/amazon-ecs-deploy-task-definition@<commit-sha>
.github/workflows/deploy_ecs_production_stationapi.yml
以下の5箇所を対応するコミット SHA に変更してください:
- 32行目:
actions/checkout@v4 → actions/checkout@<commit-sha>
- 37行目:
aws-actions/configure-aws-credentials@v4 → aws-actions/configure-aws-credentials@<commit-sha>
- 45行目:
aws-actions/amazon-ecr-login@v2 → aws-actions/amazon-ecr-login@<commit-sha>
- 63行目:
aws-actions/amazon-ecs-render-task-definition@v1 → aws-actions/amazon-ecs-render-task-definition@<commit-sha>
- 70行目:
aws-actions/amazon-ecs-deploy-task-definition@v2 → aws-actions/amazon-ecs-deploy-task-definition@<commit-sha>
背景
バージョンタグ参照は上流リポジトリの更新により予期しない変動が生じる可能性があります。デプロイワークフローでは特に、セキュリティおよび再現性の観点からコミット SHA への固定が推奨されます。
関連
概要
ステージング・本番環境デプロイワークフロー(
.github/workflows/deploy_ecs_staging_stationapi.ymlおよび.github/workflows/deploy_ecs_production_stationapi.yml)において、GitHub Actions のuses:参照がバージョンタグ(@v*)で固定されています。コミット SHA に固定することで、確定的・再現可能なデプロイが実現され、セキュリティリスクが低減されます。対応箇所
.github/workflows/deploy_ecs_staging_stationapi.yml以下の5箇所を対応するコミット SHA に変更してください:
actions/checkout@v4→actions/checkout@<commit-sha>aws-actions/configure-aws-credentials@v4→aws-actions/configure-aws-credentials@<commit-sha>aws-actions/amazon-ecr-login@v2→aws-actions/amazon-ecr-login@<commit-sha>aws-actions/amazon-ecs-render-task-definition@v1→aws-actions/amazon-ecs-render-task-definition@<commit-sha>aws-actions/amazon-ecs-deploy-task-definition@v2→aws-actions/amazon-ecs-deploy-task-definition@<commit-sha>.github/workflows/deploy_ecs_production_stationapi.yml以下の5箇所を対応するコミット SHA に変更してください:
actions/checkout@v4→actions/checkout@<commit-sha>aws-actions/configure-aws-credentials@v4→aws-actions/configure-aws-credentials@<commit-sha>aws-actions/amazon-ecr-login@v2→aws-actions/amazon-ecr-login@<commit-sha>aws-actions/amazon-ecs-render-task-definition@v1→aws-actions/amazon-ecs-render-task-definition@<commit-sha>aws-actions/amazon-ecs-deploy-task-definition@v2→aws-actions/amazon-ecs-deploy-task-definition@<commit-sha>背景
バージョンタグ参照は上流リポジトリの更新により予期しない変動が生じる可能性があります。デプロイワークフローでは特に、セキュリティおよび再現性の観点からコミット SHA への固定が推奨されます。
関連