Skip to content

Add npm audit gates to workflows#94

Open
yugook wants to merge 6 commits intomainfrom
codex/find-npm-audit-integration-for-github-actions
Open

Add npm audit gates to workflows#94
yugook wants to merge 6 commits intomainfrom
codex/find-npm-audit-integration-for-github-actions

Conversation

@yugook
Copy link
Owner

@yugook yugook commented Nov 28, 2025

Summary

  • add high-severity npm audit checks to the CI pipeline to block vulnerable PRs
  • add npm audit and signature verification gates to the release workflow before packaging and publishing

Testing

  • not run (CI-only changes)

Codex Task

@gemini-code-assist
Copy link
Contributor

Note

Gemini is unable to generate a summary for this pull request due to the file types involved not being currently supported.

@yugook
Copy link
Owner Author

yugook commented Feb 7, 2026

方針としては良いと思います(依存関係の健全性を早めに検知できるので)。

ただ、GAFAM的な運用だと 「PRの必須ゲートに “外部要因で揺れやすい監査” を直結」 するのは慎重にやることが多いです。
(npm audit は一時的な上流都合・未対応CVE・transitive依存などでノイズが出やすく、開発速度を落としがち。)

提案(現実的な落としどころ)

A. PR(CI) は安定優先、監査は分離(おすすめ)

  • PR必須は再現性が高いものだけ:
    • npm ci / lint / typecheck / tests
  • npm audit / npm audit signaturesschedule(daily) で実行して
    • High/Criticalのみ通知 or Issue起票
    • allowlist(例外)を期限付きで管理

B. リリース品質優先なら「Releaseだけ必須」

  • release.yml では現状どおり gate を置く(出荷前の最終関門としては合理的)
  • ci.yml
    • 最初は warn/通知(落とさない)
    • 安定してから必須化を検討

追加で確認したい点

  • npm audit --production だけで良いか(dev依存も見るか)や、
  • 実際のリリース頻度(週1 / 月1 / 不定期)に合わせて “Releaseだけ必須” の現実性が変わります。

個人的には、まず Release必須 + CIは通知(またはdaily) から入れて、
運用が落ち着いたら段階的に強めるのが一番安全だと思っています。

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Labels

Projects

None yet

Development

Successfully merging this pull request may close these issues.

1 participant