何があったか
GitHub Actionsで使用できるコマンドのset-envとadd-pathについて脆弱性(CVE-2020-15228)が見つかり、現在非推奨となっています。
GitHub Actions: Deprecating set-env and add-path commands https://t.co/t84gDBTGIK
— GitHub Changelog (@GHchangelog) October 1, 2020
なお、これら非推奨コマンドを使用しているとActionsの実行結果に以下のような警告が表示されるようになりました。
対応方法
1. set-env
echo "{name}={value}" >> $GITHUB_ENVというかたちで、$GITHUB_ENVに書き込みます。
修正前
steps:
- name: set env for prod
if: github.ref == 'refs/heads/main'
env:
AWS_ACCOUNT_ID: 123456789012
S3_BUCKET_NAME: deploy-prod
run: |
echo "::set-env name=AWS_ACCOUNT_ID::${AWS_ACCOUNT_ID}"
echo "::set-env name=S3_BUCKET_NAME::${S3_BUCKET_NAME}"
修正後
# 略
run: |
echo "AWS_ACCOUNT_ID=${AWS_ACCOUNT_ID}" >> $GITHUB_ENV
echo "S3_BUCKET_NAME=${S3_BUCKET_NAME}" >> $GITHUB_ENV
2. add-path
echo "{path}" >> $GITHUB_PATHというかたちで、$GITHUB_PATHに書き込みます。
修正前
- name: setup reviewdog
run: |
mkdir -p $HOME/bin && curl -sfL https://raw.githubusercontent.com/reviewdog/reviewdog/master/install.sh| sh -s -- -b $HOME/bin
echo ::add-path::$HOME/bin
修正後
# 略
echo "$HOME/bin" >> $GITHUB_PATH