Skip to content

ci: security-auto-fix ワークフロー追加(脆弱性自動修正PR)#40

Open
pi-kari wants to merge 1 commit into
mainfrom
ci/security-auto-fix
Open

ci: security-auto-fix ワークフロー追加(脆弱性自動修正PR)#40
pi-kari wants to merge 1 commit into
mainfrom
ci/security-auto-fix

Conversation

@pi-kari

@pi-kari pi-kari commented May 29, 2026

Copy link
Copy Markdown
Contributor

PR #39 のレビューで指摘した security-auto-fix.yml を本ブランチへ分離し、修正したうえで追加します。

pnpm audit --fix=override が直せない transitive 依存の脆弱性を週次で自動修正し、PR を作成するワークフローです。

レビュー指摘の反映

  • ページトップリンクのボタンをフッター手前で止める #1: git addpackage.json を含める。pnpm 11.2.2 の pnpm audit --help どおり --fix=override は overrides を package.json に書くため、これを取りこぼすと lockfile とマニフェストが不整合(ERR_PNPM_LOCKFILE_CONFIG_MISMATCH)になる。3 点を退避→復元して確実にコミット。
  • デプロイについて #2: 変更検知を package.json/pnpm-workspace.yaml のマニフェスト差分に限定。pnpm install --no-frozen-lockfile の lockfile 整形だけで空 PR が量産されるのを防止。
  • デプロイ先のURLを決める #4: git push -f を廃止し --force-with-lease --force-if-includes + ブランチ所有者ガード(先端が bot 以外なら中断)+ concurrency に置換。--force-if-includes を成立させるため、既存ブランチは一度 origin/$BRANCH を checkout して reflog に remote tip を残してから main 内容に作り直す。

検証

  • actionlint(埋め込み shellcheck 含む)パス済み。

前提

  • リポジトリ設定 Settings → Actions → General → "Allow GitHub Actions to create and approve pull requests" が有効であること。

🤖 Generated with Claude Code

@pi-kari @claude
ci: security-auto-fix ワークフローを追加(レビュー指摘修正版)
3462fdb 
pnpm audit --fix=override で transitive 依存の脆弱性を自動修正し PR を作成する。

- package.json も add 対象に含め、overrides 取りこぼし・lockfile 不整合を防止
- 変更検知をマニフェスト差分に限定し、lockfile 整形のみの空 PR を抑止
- git push -f を廃止し --force-with-lease --force-if-includes + 所有者ガード
  + concurrency に置換(人間のコミットを破棄しない安全な更新)

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
@pi-kari pi-kari mentioned this pull request May 29, 2026
Merged
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Reviewers

No reviews

Assignees

No one assigned

Labels

None yet

Projects

None yet

Milestone

No milestone

Development

Successfully merging this pull request may close these issues.

1 participant

@pi-kari