GitHub、Actions 2026 security roadmapで3層の強化計画を提示

GitHubは2026年4月9日のX postで、詳細なGitHub Actions security roadmapを案内した。本文は、2026年の計画をecosystem security、attack surface削減、infrastructure visibilityという3層に分けて説明しており、かなり具体的だ。背景にあるのは、最近のsupply-chain incidentがapplication codeだけでなくCI/CD automationそのものを狙っているという認識である。

ecosystem面では、directとtransitiveのdependencyをcommit SHAで固定するdependencies:セクションを導入する計画だという。blogはこれをActions版のgo.mod + go.sumになぞらえ、public previewを3〜6か月、general availabilityを6か月後としている。実行制御では、rulesetベースのpolicyで誰がworkflowを起動できるか、どのeventを許可するかを中央管理し、enforcement前に何がブロックされるか確認できるevaluate modeも用意するとしている。

規制産業や大規模組織にとってはinfrastructure layerが特に重要になりそうだ。GitHubはobservability向けのActions Data Streamと、GitHub-hosted runner向けnative egress firewallを構築中で、network controlはrunner VMの外側、Layer 7で適用されると説明している。これによりworkflow、job、step、command単位でoutbound accessを監査し、侵害されたautomationからのdata exfiltration riskを下げる狙いだ。計画通り進めば、Actionsは各teamが個別にguardrailを組む柔軟な仕組みから、secure defaultを前提としたsupply-chain platformへ一段近づく。