本文では、GitHub Actionsにおける安全なコード実行のための新しいGitHub Action「sandboxed-step」を紹介しています。このアクションは、gVisorサンドボックス内でコマンドを実行し、依存関係の最新バージョンに対するCIを実行する際にサプライチェーン攻撃のリスクを軽減します。GitHub Actionsはデフォルトで読み取り専用の権限を持つため、外部からの未信頼なコードの実行にはリスクがあります。このアクションによって、各ステップが同じVM上で実行されるのではなく、隔離された環境で安全に実行できるようになります。ユーザーは、コマンドの実行や環境変数の設定を行うことができ、必要に応じてホストに変更を保存するオプションも存在します。ただし、認証情報の永続化を無効にする必要があるなど、いくつかの制約があります。