@inproceedings{oai:ipsj.ixsq.nii.ac.jp:02008855,
 author = {久保,佑介 and 金井,文宏 and 秋山,満昭 and 若井,琢朗 and 森,達哉 and Yusuke Kubo and Fumihiro Kanei and Mitsuaki Akiyama and Takuro Wakai and Tatsuya Mori},
 book = {コンピュータセキュリティシンポジウム2025論文集},
 month = {Oct},
 note = {継続的インテグレーション／継続的デリバリ (CI/CD) の普及に伴い，GitHub Actions はソフトウェア開発において広く活用されている．一方で，そのセキュリティ確保は重要な課題であり，GitHub は開発者向けにセキュリティプラクティスを公開している．しかし，それらが実際にどの程度実践され，開発者がどのような判断や認識のもとでそれらを実践しているかについては十分に理解されていない．本研究では，338,812 件の公開リポジトリを対象とした大規模観測調査と 102 名の開発者へのユーザ調査を組み合わせた混合研究法的分析により，GitHub Actions におけるセキュリティプラクティスの実態を分析した．その結果，（1）セキュリティプラクティスが十分に実践されていないこと，（2）リポジトリの所有者のアカウント種別などの特性と実践状況に統計的な関連があること，（3）実践を阻害する主要な要因として，認知不足，理解不足や誤解，運用コストやリソースに対する懸念の三点が存在することを明らかにした．さらに，これらの知見に基づき，ドキュメントの改善やプラットフォーム・ツールによる支援の必要性について議論する．, GitHub Actions has become a widely used and influential platform in modern software development due to the widespread adoption of Continuous Integration/Continuous Delivery (CI/CD). Ensuring the platform's security is a critical and ongoing challenge that has prompted GitHub to publish security practices for developers. However, it is still unclear how widely these practices are adopted and how developers perceive and apply them in practice. This study used a mixed-methods approach combining a large-scale measurement study of 338,812 public repositories and a use study of 102 developers to examine the state of security practices in GitHub Actions. Our findings show that (1) security practices are not widely adopted, (2) adoption is statistically associated with repository characteristics, such as the owner's account type, and (3) three main barriers hinder adoption: lack of awareness, lack of understanding and misconceptions, and cost and resource concerns. Based on these findings, we discuss the necessity of improving documentation and providing stronger support through platforms and tools.},
 pages = {631--638},
 publisher = {情報処理学会},
 title = {GitHub Actionsのセキュリティ実践と課題の混合研究法的分析},
 year = {2025}
}