セキュリティ重視の GitHub Actions 静的解析ツール「ghasec」の紹介

GitHub Actions のセキュリティに特化した静的解析ツール「ghasec」を作りました。 https://github.com/koki-develop/ghasec こういうの インストール方法や基本的な使い方について紹介します。 インストール 使い方 明示的に対象ファイルを指定する オンラインモード 検出を無視する GitHub Actions で ghasec を使う AI エージェントとの連携 検出されるルール リモートアクションのコミット SHA 固定 スクリプトインジェクション なりすましコミット (Impostor Commit) 技術的な話...