feat: 新スキル harden-workflows — zizmor/ghalint 導入支援スキルの作成 #26
Description
背景
audit-actions のスコープを「Action 周辺セキュリティ(B)」に絞る方針を決定。
ワークフロー全般のセキュリティ(C)は別スキルとして切り出し、静的解析ツールの 導入支援 に徹する。
設計方針
やること
- CI に workflow-lint.yml がなければテンプレートを提供
- actionlint / ghalint / zizmor の推奨バージョン・SHA 情報を提示
.ghalint.yml/zizmor.ymlの初期設定テンプレート- 3ツールの役割分担を説明(構文 / ポリシー / 攻撃パターン)
gh attestation verifyパターンの紹介
やらないこと
- zizmor/ghalint のチェックルールを再実装しない(ツール更新追従問題を回避)
- ワークフローの個別セキュリティ指摘はツール自体に任せる
スキル構成案
skills/
harden-workflows/
SKILL.md
references/
workflow-lint-template.md
トリガーフレーズ案
- "harden workflows", "harden CI"
- "add workflow linting", "setup actionlint"
- "add zizmor", "add ghalint"
- "secure my GitHub Actions", "workflow security setup"
- "static analysis for workflows"
Cross-skill ハンドオフ
audit-actions→ 「ワークフロー全般のセキュリティ強化には harden-workflows スキルを使ってください」harden-workflows→ 「Action の SHA ピン留めには pin-actions、バージョンアップには upgrade-actions を使ってください」
関連
- feat: audit-actions のスコープ明文化 & zizmor/ghalint 導入推奨ハンドオフを追加 #25 (audit-actions スコープ明文化)
- PR feat: actionlint / ghalint / zizmor による Workflow Lint CI を追加 #21, fix: ghalint の検証を gh attestation verify に切り替え #22 (自リポの workflow-lint.yml 実装がテンプレートのベース)