導入:なぜ「タグ」を保護する必要があるのか?
Gitを利用した共同開発において、タグは特定のコミットに対して「v1.0.0」のような名前を付け、リリースポイントを明示するために使われます。しかし、もし誰でもタグを削除したり、同じ名前で別のコミットに付け替えたりできてしまったらどうなるでしょうか。デプロイ先で予期せぬコードが動いたり、CI/CDパイプラインが壊れたりするリスクがあります。Protected Tags(保護されたタグ)は、こうした「タグの上書き」を防ぎ、リリースの再現性と信頼性を担保するための非常に重要なセキュリティ設定です。
基礎知識:タグ保護の仕組み
タグ保護とは、Gitホスティングサービス(GitHubやGitLabなど)において、特定のパターンに一致するタグに対して書き込み制限をかける機能です。
関連用語解説
・リリース管理:ソフトウェアのバージョンを適切に管理し、どの時点のコードが本番環境にあるかを把握すること。
・バージョン固定:特定のタグを使ってデプロイを行うことで、常に同じ状態のアプリケーションを再現できるようにすること。
・CI/CDセキュリティ:タグをトリガーにして自動デプロイを行う際、不正なタグによるデプロイを防ぐ対策のこと。
実装・解決策
GitHubの場合、リポジトリの「Settings」から「Branches」を選択し、「Branch protection rules」ではなく「Tag protection rules」を設定するのが一般的です。
1. 設定画面で「Add tag protection rule」をクリック。
2. 「Tag pattern」に保護したいタグのパターン(例:v)を入力。
3. 権限(Allowed to create)を設定し、特定の管理者またはチームのみがタグを作成できるように制限します。
これにより、開発者が誤ってリリース済みのタグを消したり、上書きしたりする事故を物理的にブロックできます。
サンプルプログラム:タグの整合性をチェックするスクリプト
CIパイプラインの中で、タグが適切に保護されているか、または特定の命名規則に従っているかを検証するための簡易的なシェルスクリプト例です。
リリース用のタグが特定のフォーマット(vX.X.X)かを確認するスクリプト
CI環境でタグ作成時に実行することで、不正なタグの混入を防ぎます
TAG_NAME=$1
タグ名が v で始まり、数字が続く形式か正規表現でチェック
if [[ ! $TAG_NAME =~ ^v[0-9]+\.[0-9]+\.[0-9]+$ ]]; then
echo “エラー: タグ名が命名規則(vX.X.X)に従っていません。”
exit 1
else
echo “成功: タグ名 $TAG_NAME は有効です。”
exit 0
fi
応用・注意点:現場で陥りやすい罠
タグの削除は「取り返しがつかない」という点に注意してください。一度リモートからタグを削除し、別コミットに付け直すと、CI上のキャッシュやデプロイ履歴との整合性が取れなくなります。
回避策として、運用ルールを厳格化することが重要です。
・リリースはCI経由で自動化する:手動で `git tag` を打つ運用を廃止し、CIツール(GitHub Actionsなど)が自動的にタグを作成・プッシュする仕組みに統一しましょう。
・権限の最小化:開発者には「タグの作成権限」を与えず、プルリクエストのマージ後にCIが自動発行する仕組みにすれば、人為的ミスはゼロになります。
「タグは一度打ったら修正しない」という運用を徹底することが、DevOpsにおける信頼性向上の第一歩です。
コメント