プロジェクト全体でGitHub Actionsのバージョンをfull-length commit SHAにpinする

[Hiroshiba]

内容

プロジェクト全体でGitHub Actionsのバージョンをfull-length commit SHAにpinし、Require actions to be pinned to a full-length commit SHAをオンにする方針について議論します。

ちなみにこれをONにしない場合、利用しているGithub Actionsが乗っ取られて悪意のあるコードがデプロイされたときに勝手にそっちを使ってしまうので、結構危険です。
以前から危険視していましたが、npmパッケージの大規模な乗っ取りを見て流石にまずそうだなと思ったのでissueにしてみました。

Discordでの話

voicevox_coreで先行して検討が始まりましたが、プロジェクト全体で考えを進めた方が良さそうです。
対応は各リポジトリで順次していくのが良さそう。

Pros 良くなる点

• セキュリティ向上（GitHub Actionsの乗っ取り対策）
• プロジェクト全体で統一的なセキュリティポリシーを適用できる

Cons 悪くなる点

• 管理の手間が増える
• バージョニングがされていないactionについては、自動アップデートが難しい

実現方法

pinactを使うと一括変換やアップデートが容易になります。

VOICEVOXのバージョン

N/A

OSの種類/ディストリ/バージョン

N/A

その他

関連: VOICEVOX/voicevox_core#1166

Renovateによる自動更新も選択肢としてあります。

[Hiroshiba]

どういうふうに進めれば良さそうか、ご意見いただけると！！ @qryxip @tarepan @sevenc-nanashi

個人的な意見：

• pinactを使うのが良さそうなんだけど、リリース直後の更新を一定期間寝かせておく機能（pnpmのminimumReleaseAgeのようなの）がなさそう･･･
• 代案でdependabotやrenovateもあるけど、こっちが手動で動かすタイミング決めたい気もする
  • 少なくともdependabotは手動でこっちが動かす想定じゃなさそう（ChatGPTの調査メモ）
  • renovateはgithub actionsとして動かしていれば手動実行できそう？（ChatGPTの調査メモ）
• 優先度こんな感じ？
  • pinしてない状態が一番まずいので、なるはやでとりあえずpinしたほうが良さそう
  • そのうえで、リリース直後の更新を一定期間寝かせておく機能があると良さそう
  • 手動更新のが今のVOICEVOXのメンテナンス感に合ってる気がするけど、自動でPRが飛んでくる形でも別に良いかも