L’article explique comment améliorer la maintenance et la sécurité des workflows GitHub, un enjeu crucial pour les projets open source comme Castor. Il présente zizmor, un outil d’analyse statique qui détecte les vulnérabilités dans les fichiers de configuration CI, similaire à PHPStan pour le code. L’outil identifie des erreurs courantes comme des références non verrouillées à des actions ou des risques de fuite de credentials, et propose des correctifs automatiques.

Les exemples de rapports générés par zizmor illustrent des problèmes spécifiques, comme l’absence de hachage pour une action ou l’utilisation dangereuse de GITHUB_ENV. La commande zizmor . --fix=all permet de corriger automatiquement certaines erreurs, mais nécessite un token GitHub pour accéder aux hashes des commits associés aux tags.

Enfin, l’article mentionne que zizmor ne gère pas les mises à jour majeures des actions, nécessitant d’autres méthodes pour ces cas. L’outil s’intègre ainsi dans une démarche globale de sécurisation et de maintenance des pipelines CI/CD.