#supply-chain

npm リポジトリの cooldown と GitHub Actions の SHA pin — 個人ブログのサプライチェーン対策

Dependabot のアラートをきっかけに、既知の CVE 対応だけでなく、maintainer 乗っ取り型のサプライチェーン攻撃まで意識した自動化設定を組み直しました。cooldown、Actions の SHA pin、npm overrides、ignore-scripts、security update のみ auto-merge までを 1 セットでまとめます。