良さそう。あとはお好みで "Require actions to be pinned to a full-length commit SHA" を ON にするとかですかね。
個人開発でここまでやるの偉すぎ。結局サボって事故るのが一番怖いからな。CodeQLのデフォルトセットアップだけでも全リポジトリに突っ込みたくなるわ
自分のOSSリポジトリに最低限のGitHubセキュリティ設定を導入する手順書で、Nxの2025/08の事例を踏まえ、参考にした3つの記事とImmutable Releasesの有効化を解説。
リポジトリにセキュリティ設定
Dependabot Alertsを有効化 GitHubのPrivate vulnerability reporting / Security Advisoriesを有効化 CodeQLの有効化 Secret scanning & プッシュ保護を有効化 main/masterを保護(PR必須 + CI必須など) バージョンtagの保護 SECURITY.mdを追加 Enable release immutabilit
あとでやる
とても良いけどこういうのコード化して自動化したい / した https://gist.github.com/send/5b971a6270e65f7b8236f2feedc80214
自分のOSSリポジトリにGitHubのセキュリティ設定を入れ、自分用の手順書を作った - $shibayu36->blog;
良さそう。あとはお好みで "Require actions to be pinned to a full-length commit SHA" を ON にするとかですかね。
個人開発でここまでやるの偉すぎ。結局サボって事故るのが一番怖いからな。CodeQLのデフォルトセットアップだけでも全リポジトリに突っ込みたくなるわ
自分のOSSリポジトリに最低限のGitHubセキュリティ設定を導入する手順書で、Nxの2025/08の事例を踏まえ、参考にした3つの記事とImmutable Releasesの有効化を解説。
リポジトリにセキュリティ設定
Dependabot Alertsを有効化 GitHubのPrivate vulnerability reporting / Security Advisoriesを有効化 CodeQLの有効化 Secret scanning & プッシュ保護を有効化 main/masterを保護(PR必須 + CI必須など) バージョンtagの保護 SECURITY.mdを追加 Enable release immutabilit
あとでやる
とても良いけどこういうのコード化して自動化したい / した https://gist.github.com/send/5b971a6270e65f7b8236f2feedc80214