GitHub Actions のアクションをコミットハッシュで固定した時に上手く更新する
GitHub Actions のアクションは多くの場合タグを通じてバージョンを指定するが、タグが指す Git のコミットは変更可能であり、GitHub Actions が呼び出すアクションを正確に固定できているとは言えない。
GitHub もサプライチェーンアタックへの対策としてアクションのコミットハッシュを固定することを推奨している。
この時問題になるのが、コミットハッシュの自動的な更新である。多くの依存関係更新 bot (e.g. Dependabot、Renovate)はコミットハッシュの前後関係を解釈できず、またコミットハッシュは依存関係更新 bot のバージョン更新戦略を適用するための情報を持たない。そこでほかの方法で更新のためのメタデータを与える必要がある。
幸い Dependabot と Renovate はこのケースをサポートしており、以下のドキュメント通りに設定することで依存関係を更新する PR を自動で作成できるようになる。