AI Hacker News Apr 9, 2026 1 min read
Astral の 2026年4月8日の post が HN で注目されたのは、supply-chain security を抽象論ではなく CI/CD の運用規律として示したからだ。危険な GitHub Actions trigger の禁止、action の hash pinning、<code>permissions: {}</code> からの開始、secret の隔離、GitHub App と Trusted Publishing の組み合わせが要点になった。