[infra]: Github workflowの追加 #5
Description
概要
コード品質の維持とセキュリティリスクの早期発見のため、GitHub ActionsによるCIパイプラインを構築します。
セキュリティスキャンには、既に用意した security.yml (TruffleHog + Syft/Grype) を採用します。
実装対象ワークフロー
1. Backend CI (.github/workflows/backend.yml)
- Trigger:
backend/配下の変更 ormainへのPush - Environment: Python 3.11
- Tasks:
poetry install- Lint:
ruff check . - Format:
ruff format --check . - Type Check:
mypy . - Test:
pytest
2. Frontend CI (.github/workflows/frontend.yml)
- Trigger:
frontend/配下の変更 ormainへのPush - Environment: Node 20
- Tasks:
npm ci- Lint:
npm run lint - Type Check:
npm run type-check(tsc) - Build Check:
npm run build
3. Security Scan (.github/workflows/security.yml)
- Trigger: 全体の変更
- 内容: 既存の
security.ymlを配置- Secret Scan (TruffleHog)
- SBOM Generation (Syft)
- Vulnerability Scan (Grype) - Critical Only
完了条件 (DoD)
- PR作成時、各ディレクトリの変更に応じて適切なWorkflowが起動すること。
- Grypeがソースコードディレクトリをスキャンし、完了すること。