step-security/harden-runnerというGitHub Actionsを知った。

GitHub Actionsでネットワークegressの制御するアクション。サプライチェーンアタックのリスクも上がっているから気にするなら入れておきたいやつ » step-security/harden-runner: Network egress filtering and runtime security for GitHub-hosted and self-hosted runners https://t.co/LWIkqDeNtR

— toshimaru (@toshimaru_e) October 9, 2024

導入イメージは以下の通り。

steps:
  - uses: step-security/harden-runner@446798f8213ac2e75931c1b0769676d927801858 # v2.10.0
    with:
      egress-policy: audit

harden-runner@v2 のように指定せずにコミットハッシュ値形式なのは、v2が悪意のある誰かによって書き換えられる可能性があるため。

厳密にバージョンを指定することで、セキュリティを向上させている。