GitHubもコミットSHA指定を強制するオプションは提供するけどpinactと同等の機能は提供しないのは、そんな小手先対応よりimmutable release使えってスタンスなのかな。
ビルドプロセスに勝手に混入されたら困るもんなあ
各言語のパッケージマネージャと同じことをしろって言われたら完全にその通りで、むしろ何でやらないのレベルの話だ
他所のactionはそうしてる。自作のactionはあんまし固定しない。他人が自分のやつを使う時は固定すべきとは思う。
GitHub Actions で参照するアクションはコミット SHA で固定するべき
GitHubもコミットSHA指定を強制するオプションは提供するけどpinactと同等の機能は提供しないのは、そんな小手先対応よりimmutable release使えってスタンスなのかな。
ビルドプロセスに勝手に混入されたら困るもんなあ
各言語のパッケージマネージャと同じことをしろって言われたら完全にその通りで、むしろ何でやらないのレベルの話だ
他所のactionはそうしてる。自作のactionはあんまし固定しない。他人が自分のやつを使う時は固定すべきとは思う。