❌️npm tokenを使ってGitHub Actionsでnpm publishする
古い手順
リスク
npm tokenが、CIのログなどから漏洩する
漏洩した際に、無効化するまでに悪用される
必要以上に広い権限を持つことが多い
事前準備
github action 書く
code:yml
jobs:
publish:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
- uses: actions/setup-node@v4
- uses: oven-sh/setup-bun@v2
- run: bun install --frozen-lockfile
- run: npm publish --provenance --access public
env:
NODE_AUTH_TOKEN: ${{secrets.NPM_TOKEN}}
https://www.npmjs.com/settings/[ユーザー名]/tokensで作れる
Generate New Token -> Classic Tokenで
https://gyazo.com/5ce13df708f6a117e203ffc00a7e75df
NPM_TOKEN という名前でNPMトークンを追加
ymlの記述に合わせるmrsekut.icon
https://gyazo.com/2a5d0be7ffa836a85c5301c8c1c4c263