GitHub ReleasesのImmutable Releases
GitHub Releasesでいちど公開した成果物を変更不可能とするオプションがある。このオプションはGitHub Actionsではコミットハッシュでの固定が推奨されることについての根本的な対処となるので、今後は例外なく有効にするといいと思う。
- Releases now support immutability in public preview
- Immutable releases
- GitHub の Immutable Releases を有効にしてセキュリティインシデントを防ごう
このオプションを使うには、リポジトリの設定で General タブにある Release セクションで Enable Release Immutability を有効にする。この状態でリリースを作成すると、該当するリリースには鍵付きのアイコンに Immutable というラベルが付与される。ただし不変となるのはコミットの内容とリリース成果物だけで、リリースのタイトル、リリースの説明文、プレリリース状態は依然として変更可能となっている。
実際の運用での知見はGitHubでImmutable Releasesを有効にした運用に書く。