ホーム » Wiki » ガイド

GitHub Actions スクリプトインジェクション対策

GitHub Actions で ${{ }} テンプレート式の不適切な使用による攻撃を防ぐガイド

更新: 2026-04-06 · GitHub Actions CI/CD セキュリティ

目次

概要
対策
ソース記事

概要

${{ }} テンプレート式はシェル起動前に展開されるため、攻撃者制御のコンテキスト（PR タイトル・ブランチ名・Issue 本文）をそのまま run に埋め込むとコマンドインジェクション成立。

対策

env で環境変数に渡して ${VAR} で参照
actionlint・zizmor で自動検出
サードパーティ Actions はコミットハッシュでピン留め

ソース記事

GitHub Actions スクリプトインジェクション完全ガイド — 2026-03
信頼できない入力の扱い — 2026-03