ShellCheckはシェルスクリプトの静的解析ツールだ。文法エラー、バッドプラクティス、セキュリティリスクを指摘してくれる。チェック内容はWikiをみてほしい*1。 www.shellcheck.net はじめの一歩 Macの場合はbrew install shellcheckでインストールできる。早速以下のシェルスクリプトに対して解析をかけてみる。 #!/bin/bash echo "Deleting files in $DIR..." rm -rf $DIR 解析はshellcheck vulnerable.shで実行する。結果、以下のように表示される。 GitHub Actions 次にこれをGitHub Actions*2で解析することを考える。実はGHAにはデフォルトでShellCheckが装備されている。 なので、GHAでシェルスクリプトを実行する前に静的解析をかければ良い。
by Ben Nuttall トランプ政権は2025年1月20日の発足直後からバイデン前政権の大統領令の多くを撤回すると発表して大胆な改革を推し進めており、政府機関のウェブサイトも大きく変更されています。アメリカ政府機関の18FがGitHubのコミット履歴を通じ、政府機関のウェブサイトで行われている具体的な削除・編集の過程を可視化しています。 Commits · 18F/handbook · GitHub https://github.com/18F/handbook/commits/main/ GitHub Is Showing the Trump Administration Scrubbing Government Web Pages in Real Time https://www.404media.co/github-is-showing-the-trump-administra
前置き tl;dr; 解説 動的にmatrixを生成する JSON文字列からmatrixを生成する 前置き GitHub Actionsではworkflowのyamlファイルに下記のように jobs.<job-id>.strategy.matrix を書くことでmatrix buildを作ることができます。 *1 # .github/workflows/build.yml jobs: test: name: test (Ruby ${{ matrix.ruby }}, Go ${{ matrix.go }}) runs-on: ubuntu-latest strategy: fail-fast: false matrix: ruby: - "3.3" - "3.4" go: - "1.23" しかし、このmatrixの組み合わせを別のworkflowでも使いたくなった時に、普通にやると全く
ソフトウェア開発プラットフォームのGitHubが、GitHubのユーザーから得られた8400件分のアンケート結果をまとめて公開しました。オープンソースプロジェクトにおけるセキュリティ問題やAIに関連した問題などについて、データが共有されています。 Seven years of open source: A more secure and diverse ecosystem - The GitHub Blog https://github.blog/news-insights/seven-years-of-open-source-a-more-secure-and-diverse-ecosystem/ Open Source Survey 2024 https://opensourcesurvey.org/2024/ 以下は、2024年の調査から得られた情報です。 ◆オープンソースソフトウェ
これは何? GitHub ActionsからAWSのリソースへのアクセスする際にはなんらかの認証情報が必要です。 一昔前は,GitHub Actions Secretsに保存したAWSのアクセスキーとシークレットを埋め込む形が一般的でした。 しかし,最近この方法は非推奨になっています。 本記事では,Open ID Connectの技術を利用することによってよりセキュアにGitHub Actionsを使用する方法について紹介します。 OpenID Connectとは https://www.openid.or.jp/document/ より抜粋 OpenID Connect 1.0 は, OAuth 2.0 プロトコルの上にシンプルなアイデンティティレイヤーを付与したものである. このプロトコルは Client が Authorization Server の認証結果に基づいて End-Us
はじめに GitHub Script概要 セットアップ context の中身 eSquare Liveでの活用事例 発生した問題 タグの打ち間違い releaseブランチが複数存在する場合のデプロイ先選択の複雑化 解決策としてのGitHub Scriptの活用 機能1 vX.Y.Zのタグがmainブランチのコミットハッシュと一致することを確認する 機能2 releaseブランチは最新バージョンのみ自動で検証環境にデプロイする 完成版スクリプト まとめ はじめに こんにちは、enechainでeSquare Liveを開発しているエンジニアの古瀬(@tsuperis3112)です! 今回は、マニュアル依存になりがちなデプロイフローの問題を actions/github-script で解消した方法についてお話します。 eSquare Liveの開発では、効率的かつ信頼性の高い開発フローを維
ECS の CI/CD を GitHub Actions、Code シリーズ、Terraform というおいしいものづくしで作ります。 ECS の CI/CD は定番ものですが、構築にはいろいろなパターンがあるので、そのあたりに悩みつつも楽しみながら作ってみましょう 構築の方針 考えるポイントとしては、アプリとインフラの境界をどうするかというところです。本記事の CI/CD ではアプリの範囲はアプリ側の GitHub リポジトリで扱えるところまでとし、インフラは「それ以外すべて」と考えました。 ここをどう考えるかは、以下の記事がとても参考になります。上の記事ではパターン3、下の記事ではパターン 3-3 に近しいものを採用しました。 ECS の CI/CD において、アプリとインフラが構築に混在するのであれば、GitHub Actions + Code シリーズはファーストチョイスと考えてよ
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? はじめに この記事は Terraform Advent Calendar 2024 の 23日目の記事です。 TerraformのCI/CDどうしてますか?私は長年Atlantisを愛用していました。Atlantisは、Terraform/OpenTofu用のCI/CDサーバで、自分で使う分にはどちゃクソ便利なんですが、サーバを自前で建てないといけないのがネックで、なかなか初心者や小規模な環境にはオススメしづらいのが悩ましいところです。 なんかよい代替手段はないかしら?と思って最近使ってみているのがDiggerです。DiggerはGit
はじめに こんにちは。バックエンドエンジニアのよしかわです。本記事では GitHub Actions のワークフローを少し安全に書くコツを一つご紹介いたします。 この記事はエモーションテック Advent Calendar 2024の10日目の記事です。 脆弱性を含むワークフローの例 今回取り上げるのはスクリプトインジェクション対策です。例として公式ドキュメントで脆弱性を含むとして挙げられているコードを見てみます。これはプルリクエストのタイトルが octocat で始まっていれば「PR title starts with 'octocat'」を出力して成功し、そうでなければ「PR title did not start with 'octocat'」を出力して失敗するというものです。 - name: Check PR title run: | title="${{ github.event
世界最大のソフトウェア開発プラットフォームのGitHubには、「Star(スター)」と呼ばれるリポジトリやトピックに印を付ける機能があります。スターを付けることで後で検索しやすくなったり、スターが多いリポジトリは「人気のリポジトリ」として表示されやすくなったりします。しかし、カーネギーメロン大学とノースカロライナ州立大学による研究で、人為的に水増しされたスターが450万個も存在していることや、偽のスターの多くがマルウェアを含むリポジトリに付けられていることが明らかになりました。 4.5 Million (Suspected) Fake ⋆ Stars in GitHub: A Growing Spiral of Popularity Contests, Scams, and Malware (PDFファイル)https://arxiv.org/pdf/2412.13459 The Rise
この記事は、Techouse Advent Calendar 2024 15日目です。 昨日は 青木真一 さんによる Figmaプラグインを使って楽をしようとしたらCORSの壁に阻まれた でした。 15日目は keima が担当します。ちなみにTechouseではジョブハウス工場のモバイルアプリ開発をしています。 はじめに Techouseに入社して純粋に思ったこととして、「セキュリティ意識が高いなぁ…」と思いました。 過去に勤務した経験のあるどの組織よりもセキュリティ意識がしっかりしていると感じました(もちろん近年はセキュリティ意識をより求められているというのもありますので、これまで勤めた組織もセキュリティ意識は向上していっているとは思います)。 お客様の情報をはじめとした情報資産の保護について、弊社の情報セキュリティ方針 を掲げるだけでなく、しっかり実行していくということに矜持を感じま
こんにちは。SRE の @int128 です。 スタディサプリのプロダクト開発では GitHub Actions を積極的に導入しています。本稿では、日常の風景に溶け込んでいる GitHub Actions を紹介します。 プロダクトの開発運用を支える GitHub Actions リポジトリとオーナーシップ 我々は monorepo を採用しており、すべてのマイクロサービスを同じリポジトリで管理しています。リポジトリのディレクトリ構成は下図のようになっています。 . ├── .github/workflows/ │ ├── マイクロサービス--test.yaml │ ├── マイクロサービス--deploy.yaml │ ├── ... │ └── reusable--横断的関心事.yaml ├── マイクロサービス/ │ ├── README.md │ ├── プロダクションコード..
はじめに プロジェクトにGitHub Actionsが設定されているけれど、何を実行しているのかよくわからない…という人は多いかもしれません。 今回、新規プロジェクトでゼロからGitHub Actionsを構築したので、その経験をもとにまとめました。 GitHub Actionsで何ができるのか知りたい方 構築の仕方がわからない方 GitHub Actionsをなんとなく知っているけど中身はよくわからない方 など初心者でも理解できる内容を目指しています! また、GitHub Actionsをローカルで実行する方法についても解説しているのでぜひ参考にしてください! GitHub Actions とは GitHub Actions は、ビルド、テスト、デプロイのパイプラインを自動化できる継続的インテグレーションと継続的デリバリー (CI/CD) のプラットフォームです。 要するに手動での作業を
Findy Engineer Lab編集部のゆでたまご(@f43a9a)です。 「編集部の業務をなるべく少ないツールで完結したい! そうしたらきっともっと効率的にメディア運用ができるはずだ!」というアイデアから、GitHubだけで記事制作できないかチャレンジ企画の連載をスタートすることになりました。進捗状況を逐一レポートして、テックに関わる皆様のメディア・ブログ運用のヒントになる情報を発信できたらいいな、と考えています。 ……いきなりこんなこと言われてもワケがわからないと思うので、背景を説明しますね。 どうしてGitHubで記事制作したいのか 編集部の主な業務は、言わずもがな記事を作ることです。記事制作開始から公開までに、どんなアウトプットがあるのかと言いますと……。 記事制作の流れ 企画書: 主にGoogle Docsで制作 連絡・調整: メールやXのDMなどで、取材や寄稿で記事制作協力
拙著『GitHub CI/CD実践ガイド』は内容だけでなく、読書体験にもこだわりました。AmazonやSNSでも読みやすいという声は多く、技術書としては珍しい観点で評価を得ています。 Amazonにおける「GitHub CI/CD実践ガイド」の読者レビュー 本記事では書籍の「読みやすさ」という切り口から、執筆の舞台裏を紹介します。 最高の読書体験を目指す 技術書の使命は、役立つ情報を届けることです。しかし筆者は役立つだけでなく、読んでいて心地よい書籍にしたいと考えました。そこでまず決めたのが「最高の読書体験を目指す」ことです。そして最高の読書体験を実現するため、次のような設計原則を定めて執筆しました。 シンプルにする:短い文章・簡潔なコード・直感的な図表へと磨き上げる ノイズを減らす:難しい表現は避け、読者を迷わせる要素は徹底的に取り除く テンポを重視する:読者の集中力を削がないよう、読ん
GitHubは2024年10月29日(米国時間)、同社のソフトウェア開発プラットフォーム「GitHub」を使用する開発者動向をまとめた年次レポート「The State of the Octoverse 2024」を公開した。2023年10月1日から2024年9月30日までの間に取得されたユーザーおよびプロダクトデータに基づいている。 GitHubは、5億1800万以上のプロジェクトのアクティビティーや、52億のコントリビューションに基づき、次のように分析している。 10年トップだったJavaScriptを抜いたプログラミング言語は? 関連記事 Python開発者がPython以外で使う言語 3位「SQL」、2位「HTML/CSS」、1位は? Python Software Foundationは、Python開発者を対象とした調査レポート「Python Developers Survey
ファインディ株式会社でフロントエンドのリードをしている新福(@puku0x)です。 皆さん、GitHub ActionsのLarger runnerはご存知でしょうか? 高性能なマシンを使ってCIを実行できる一方、変更の少ない場合や計算負荷の低いCIではコストパフォーマンスが悪くなってしまいがちですよね?🤷♂️ この記事では、Nxの機能を利用してLarger runnerを動的に切り替える方法をご紹介します。 Nxについては以前の記事で紹介しておりますので、気になる方は是非ご覧ください。 tech.findy.co.jp Larger runner(より大きなランナー) 課題 解決策 結果 まとめ Larger runner(より大きなランナー) Larger runnerは、「GitHub Teamプラン」または「GitHub Enterprise Cloudプラン」の場合に利用可能
GitHubが開発者向けサービスへの生成AIへの組み込みを加速させている(関連記事:GitHub Copilotで「Claude」「Gemini」も利用可能に 自然言語のみでアプリ開発できる新ツールも)。生成AIアシスタント「GitHub Copilot」はマルチモデル化され、OpenAIのみならず、AnthropicやGoogleのモデルも利用可能になった。しかし、注目度が高いのはシステム生成AI「GitHub Spark」の発表だ。 「10億人が開発者になれるように支援する」を目指したGitHub Sparkは自然言語エディターにアプリのアイデアやイメージを記述すると、「Spark」というマイクロアプリが生成され、Web上からラウンチや管理が行なえるサービス。GitHub Sparkの紹介ページには「Without needing to write or deploy any code
プログラマーのマストハブ!? GitHubとZozotownの限定コラボアパレル登場2024.11.15 14:00 そうこ 日本最大級、ファッション系EコマースのZozotownとソフトウェア開発者向けのコミュニケーションプラットフォームGitHubが、コラボプロジェクトを発表しました。 今月22日、コラボ限定アパレルが登場します。 オクトキャットのパーカーなどGitHub×Zozotownの限定コラボとして、5つのアイテムが登場。 Image: GitHub x ZozotownTシャツは2パターンあって、スタンダードTシャツが6,930円、カジュアルTシャツ(4種類)は4,950円。その他、フーディー(9.900円)、バッグ(2,970円)、キャップ(3,850円)と、どんな人でも使える定番のアイテム。色も白、黒、ベージュと派手さはないものの…、わかる人が見たらすぐわかる、あのキャラ
ROUTE06 では GitHub の管理に Terraform を導入しました。今回はその導入の背景、実際に導入してどう変わったのか、導入方法について紹介したいと思います。 Terraform とは Terraform は、IaC(Infrastructure as Code)ツールの一種です。 インフラの設定をコードとして管理することで、設定の変更履歴が明確になり、誤った設定によるトラブルを防ぐことができます。 なぜ GitHub を Terraform で管理するのか ROUTE06 では、全社的に GitHub を使用しています。そのため、GitHub の管理は非常に重要です。 Terraform 導入前には、以下のような課題がありました。 手動での設定変更時にミスが発生する 設定変更の履歴が追いにくい 重要な変更(リポジトリの作成や Organization へのユーザー招待など
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
