Require actions to be pinned to a full-length commit SHA: All actions must be pinned to a full-length commit SHA to be used. This includes actions from your enterprise and actions authored by GitHub. Reusable workflows can still be referenced by tag.
ということが書かれているので、sha pin強制ポリシーはreusable workflowは対象外なのでorgでshaごと指定するとかする必要がある
2025年8月15日に追加。Settings → Actions → General の「Allowed actions and reusable workflows」配下のチェックボックス「Require actions to be pinned to a full-length commit SHA」をONにするだけ。
違反したワークフローは実行時に失敗する。
設定はこの辺 zenn.dev
2025年10月に GA。Organization SettingsのReleasesセクションから「All repositories」または「Selected repositories」で一括有効化でき、タグの付け替えとアセット改竄を防げる。Release attestationも自動生成される。
わかりづらいけどこの辺に案内あるけれど、ググれば比較的新しい操作方法が出てくるはず docs.github.com
とりあえずコミットログに余計な空白が入っていないかを見たかった
git log --format='%H%x09[%s]'
こういうのって公式で用意してくれないんだね…
GitHub Appなどでも連携が出来るけど、管理するにはそこそこに強い権限が必要そう 特にorgでは
repoごとの管理だったらGitHub Appでrepoを絞る必要がある
GitHub Appでの権限はどうかわからないけど、fine-grained tokenが "Administration" organization permissions (write) なので、管理するにはかなり強めの権限が必要そう
ローリングスタート
istioサイドカーローリングスタートの例
kubectl get ns -o name -l istio-injection=enabled | while read -r ns; do ns=${ns#namespace/} kubectl get deploy -o name -n "${ns}" | while read -r deploy; do kubectl rollout restart "${deploy}" -n "${ns}" kubectl rollout status "${deploy}" --timeout=30s -n "${ns}" done kubectl get sts -o name -n "${ns}" | while read -r sts; do kubectl rollout restart "${sts}" -n "${ns}" kubectl rollout status "${sts}" --timeout=10s -n "${ns}" done done
ノードが複数あるならforでぐるぐるしながらcordon/drainするのもあり
GKEの例
for node in $(kubectl get nodes -l cloud.google.com/gke-nodepool=EXISTING_NODE_POOL_NAME -o=name); do kubectl cordon "$node"; done
for node in $(kubectl get nodes -l cloud.google.com/gke-nodepool=EXISTING_NODE_POOL_NAME -o=name); do kubectl drain --force --ignore-daemonsets --delete-emptydir-data --grace-period=GRACEFUL_TERMINATION_SECONDS "$node"; done
直接のオプションはないので、grepで頑張るしかない
enforcement_mode ENFORCEDにしないとapp checkが適用されない
第一世代ならグローバル
gcloud builds repositories list --connection=接続名 --region=リージョン --format="value(name)"
まあ非推奨です 第二世代に移行してください
忘れそうになるし実際忘れるしわざわざチャッピーだかclaudeだかに聞くまでもないから残しておく
