[maintenance/4.1] GitHub Actionsワークフローを最新バージョンに更新 by dotani1111 · Pull Request #6608 · EC-CUBE/ec-cube

dotani1111 · 2026-01-28T01:51:42Z

概要(Overview・Refs Issue)

GitHub Actionsのワークフローファイルを最新バージョンに更新しました。
4.3ブランチと同様の更新を行い、最新のGitHub Actions機能とセキュリティ改善に対応しています。

主な変更内容：

GitHub Actionsのアクションを最新バージョンに更新（actions/cache@v1→v4、actions/upload-artifact@v2→v6、actions/checkout@v2→v6、actions/download-artifact@v2→v7、codecov/codecov-action@v1→v5、svenstaro/upload-release-action@v1-release→2.11.3）
chromedriverコマンドに--port=9515オプションを追加（11箇所）

更新したファイル（12ファイル）：

.github/workflows/coverage.yml
.github/workflows/deny-test.yml
.github/workflows/deploy.yml
.github/workflows/dockerbuild.yml
.github/workflows/e2e-bc-test.yml
.github/workflows/e2e-test.yml
.github/workflows/penetration-test.yml
.github/workflows/phpstan.yml
.github/workflows/plugin-test.yml
.github/workflows/unit-test.yml
.github/workflows/vaddy-1.yml
.github/workflows/vaddy-2.yml

方針(Policy)

4.3ブランチのワークフローファイルを参考に、同様の更新を適用
既存のワークフロー動作を維持しつつ、アクションバージョンのみを更新
セキュリティ改善と互換性の向上を優先

実装に関する補足(Appendix)

更新したアクションの詳細

actions/cache: v1 → v4 (14箇所)
actions/upload-artifact: v2 → v6 (29箇所)
actions/checkout: v2 → v6 (4箇所)
actions/download-artifact: v2 → v7 (1箇所)
codecov/codecov-action: v1 → v5 (2箇所)
svenstaro/upload-release-action: v1-release → 2.11.3 (8箇所)

chromedriverのポート指定

すべてのchromedriverコマンドに --port=9515 オプションを追加しました。これにより、ポートの明示的な指定により接続の安定性が向上します。

テスト（Test)

GitHub Actionsのワークフローファイルの更新のみで、アプリケーションコードの変更はありません。

相談（Discussion）

マイナーバージョン互換性保持のための制限事項チェックリスト

既存機能の仕様変更はありません
フックポイントの呼び出しタイミングの変更はありません
フックポイントのパラメータの削除・データ型の変更はありません
twigファイルに渡しているパラメータの削除・データ型の変更はありません
Serviceクラスの公開関数の、引数の削除・データ型の変更はありません
入出力ファイル(CSVなど)のフォーマット変更はありません

レビュワー確認項目

動作確認
コードレビュー
E2E/Unit テスト確認(テストの追加・変更が必要かどうか)
互換性が保持されているか
セキュリティ上の問題がないか
- 権限を超えた操作が可能にならないか
- 不要なファイルアップロードがないか
- 外部へ公開されるファイルや機能の追加ではないか
- テンプレートでのエスケープ漏れがないか

Bumps [twig/twig](https://github.com/twigphp/Twig) from 2.14.10 to 2.14.11. - [Release notes](https://github.com/twigphp/Twig/releases) - [Changelog](https://github.com/twigphp/Twig/blob/v2.14.11/CHANGELOG) - [Commits](twigphp/Twig@v2.14.10...v2.14.11) --- updated-dependencies: - dependency-name: twig/twig dependency-type: direct:production ... Signed-off-by: dependabot[bot] <support@github.com>

Bumps [follow-redirects](https://github.com/follow-redirects/follow-redirects) from 1.14.7 to 1.14.8. - [Release notes](https://github.com/follow-redirects/follow-redirects/releases) - [Commits](follow-redirects/follow-redirects@v1.14.7...v1.14.8) --- updated-dependencies: - dependency-name: follow-redirects dependency-type: indirect ... Signed-off-by: dependabot[bot] <support@github.com>

- ZapClient の proxy を省略できるよう修正 - baseURL は playwright.config から取得するよう修正 - ECCUBE_ADMIN_ROUTE を環境変数から取得するよう修正

- refs EC-CUBE#5282

パスワードを変更してしまうと、 OWASP ZAP の自動ログインが無効になり、アクティブスキャンが継続できなくなってしまうため、パスワードの変更を抑制するパッチを当てる必要がある

[4.1]jQuery.text() を使用するよう修正

[4.1]ファイル名チェック修正

バージョンを更新：4.1.2-p1

Bumps [engine.io](https://github.com/socketio/engine.io) and [browser-sync](https://github.com/BrowserSync/browser-sync). These dependencies needed to be updated together. Updates `engine.io` from 3.5.0 to 6.2.0 - [Release notes](https://github.com/socketio/engine.io/releases) - [Changelog](https://github.com/socketio/engine.io/blob/main/CHANGELOG.md) - [Commits](socketio/engine.io@3.5.0...6.2.0) Updates `browser-sync` from 2.27.7 to 2.27.10 - [Release notes](https://github.com/BrowserSync/browser-sync/releases) - [Changelog](https://github.com/BrowserSync/browser-sync/blob/master/CHANGELOG.md) - [Commits](BrowserSync/browser-sync@v2.27.7...v2.27.10) --- updated-dependencies: - dependency-name: engine.io dependency-type: indirect - dependency-name: browser-sync dependency-type: direct:development ... Signed-off-by: dependabot[bot] <support@github.com>

…engine.io-and-browser-sync-6.2.0 Bump engine.io and browser-sync

Bumps [node-notifier](https://github.com/mikaelbr/node-notifier) and [gulp-notify](https://github.com/mikaelbr/gulp-notify). These dependencies needed to be updated together. Updates `node-notifier` from 5.4.5 to 9.0.1 - [Release notes](https://github.com/mikaelbr/node-notifier/releases) - [Changelog](https://github.com/mikaelbr/node-notifier/blob/master/CHANGELOG.md) - [Commits](mikaelbr/node-notifier@v5.4.5...v9.0.1) Updates `gulp-notify` from 3.2.0 to 4.0.0 - [Release notes](https://github.com/mikaelbr/gulp-notify/releases) - [Changelog](https://github.com/mikaelbr/gulp-notify/blob/master/CHANGELOG.md) - [Commits](https://github.com/mikaelbr/gulp-notify/commits/v4.0.0) --- updated-dependencies: - dependency-name: node-notifier dependency-type: indirect - dependency-name: gulp-notify dependency-type: direct:development ... Signed-off-by: dependabot[bot] <support@github.com>

…node-notifier-and-gulp-notify-9.0.1 Bump node-notifier and gulp-notify

[4.1]テキストのみのデータは jQuery.text を使用する

[4.1] JavaScript で出力する文字列にエスケープ処理を追加

[4.1]file.file_path のサニタイズ

4.1.2-p2

- Merge 4.1 branch changes into maintenance/4.1 - Resolved conflicts: - Dockerfile: Keep Node.js 18.x and composer self-update - Constant.php: Keep version 4.1.2-p4 - package.json: Keep version 4.1.2-p4 - composer.lock, package-lock.json: Use 4.1 branch versions

- actions/cacheをv1からv4に更新 - actions/upload-artifactをv2からv6に更新 - actions/checkoutをv2からv6に更新 - actions/download-artifactをv2からv7に更新 - codecov/codecov-actionをv1からv5に更新 - svenstaro/upload-release-actionをv1-releaseから2.11.3に更新 - chromedriverコマンドに--port=9515オプションを追加

coderabbitai · 2026-01-28T01:51:51Z

Important

Review skipped

Auto reviews are disabled on base/target branches other than the default branch.

Please check the settings in the CodeRabbit UI or the .coderabbit.yaml file in this repository. To trigger a single review, invoke the @coderabbitai review command.

You can disable this status message by setting the reviews.review_status to false in the CodeRabbit configuration file.

🔍 Trigger a full review

_{Comment @coderabbitai help to get the list of available commands and usage tips.}

- GitHub Actionsのset-outputをGITHUB_OUTPUTに変更（10ファイル） - 非推奨のset-outputコマンドを新しいGITHUB_OUTPUT方式に更新 - actions/cache@v4使用時の警告を解消 - Codeceptionテストの安定化を改善 - AbstractPage::goPage()にwaitForJSを追加してページ遷移を確実に待機 - AbstractAdminPage::goPage()にwaitとリトライロジックを追加 - AbstractAdminPage::atPage()でsee()をwaitForText()に変更 - StaleElementReferenceExceptionの発生を防止

dotani1111 · 2026-02-04T07:28:04Z

Backward系のテストはもういらない気がする。

dotani1111 · 2026-02-04T07:30:11Z

[Facebook\WebDriver\Exception\StaleElementReferenceException] stale element reference: stale element not found

SeleniumとFacebook WebDriveの通信ができないようなので、調べてみる。

chihiro-adachi and others added 30 commits February 1, 2022 10:45

商品詳細画面のスキャンを追加

3e9f6bb

ZAP シナリオ当サイトについてを追加

0b61a72

penetration-test.yml へabout.test.tsを追加

3ce3997

CSRFトークンとアラートフィルターを追加

772d7fd

必要なポリシーのみマウントする

f55c4c2

ZapClient の TypeDoc 追加

59ef851

各種URLの抽象化

188c8d7

- ZapClient の proxy を省略できるよう修正 - baseURL は playwright.config から取得するよう修正 - ECCUBE_ADMIN_ROUTE を環境変数から取得するよう修正

アンチCSRFトークンとアラートフィルターを追加

754ac03

proxy の環境変数は不要になったため削除

b83b64c

- refs EC-CUBE#5282

脆弱性対応勉強会の資料へのリンクを追加

4f2024a

add ZAP test: content_layout.test.ts

e540271

パスワード変更のテストを workflow に追加

0352e99

[wip] delete layout

70e42ad

管理画面>コンテンツ管理>ページ管理のテストを追加

1478262

skip 削除

6c01ec3

OWASP ZAP用シナリオ商品CSV登録雛形ダウンロードを追加

7e40405

add patch file

fa2d267

[OWASP ZAP] 管理画面>コンテンツ管理>ブロック管理のテストを追加

976ec84

modify test.beforeAll

c3890c8

レビュー反映

2d86f02

E2Eテスト項目番号の調整

2232c90

セッションファイル名変更

c4aa44a

商品CSV登録販売制限数、通常価格の未指定の場合を追加

4990945

本番モードのmonolog 調整

f636f1d

E2E追加: 在庫切れ商品の非表示有効／無効

9306c25

E2E サイトマップ

151f9e8

codeception 用にルータースクリプトを追加

3f37d08

nanasess and others added 22 commits August 25, 2022 16:46

jQuery.text() を使用するよう修正

4032928

ファイル名チェック修正

f358976

ユニットテストを追加

b60d27d

E2Eテストを追加

b8c2a5e

Merge pull request from GHSA-7p45-6xq4-rv7c

67dd464

[4.1]jQuery.text() を使用するよう修正

Merge pull request from GHSA-4wgr-gr2r-g94v

68b469c

[4.1]ファイル名チェック修正

4.1.2-p1

eb94f4c

Merge pull request EC-CUBE#5796 from chihiro-adachi/version-412p1

f67aed2

バージョンを更新：4.1.2-p1

Merge pull request EC-CUBE#5803 from EC-CUBE/dependabot/npm_and_yarn/…

cb00ae1

…engine.io-and-browser-sync-6.2.0 Bump engine.io and browser-sync

Merge pull request EC-CUBE#5805 from EC-CUBE/dependabot/npm_and_yarn/…

354b8cd

…node-notifier-and-gulp-notify-9.0.1 Bump node-notifier and gulp-notify

Add escape('js')

13b2855

テキストのみのデータは jQuery.text を使用する

24b6312

file.file_path のサニタイズ

0d346f2

Merge pull request from GHSA-g4gg-vv3p-x46m

3ee9c15

[4.1]テキストのみのデータは jQuery.text を使用する

Merge pull request from GHSA-f3c6-mqp3-m5xw

dea45ec

[4.1] JavaScript で出力する文字列にエスケープ処理を追加

Merge pull request from GHSA-cffv-7w52-pg3p

47a946f

[4.1]file.file_path のサニタイズ

4.1.2-p2

2575ba3

Merge pull request EC-CUBE#5961 from chihiro-adachi/version-4.1.2-p2

cf690d7

4.1.2-p2

dotani1111 marked this pull request as draft February 20, 2026 08:28

dotani1111 changed the title ~~GitHub Actionsワークフローを最新バージョンに更新~~ [maintenance/4.1] GitHub Actionsワークフローを最新バージョンに更新 Feb 20, 2026

dotani1111 force-pushed the maintenance/4.1 branch from 02036d0 to 83dfd5f Compare March 4, 2026 06:03

dotani1111 added this to the 4.4.0 milestone Mar 16, 2026

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

[maintenance/4.1] GitHub Actionsワークフローを最新バージョンに更新#6608

[maintenance/4.1] GitHub Actionsワークフローを最新バージョンに更新#6608
dotani1111 wants to merge 215 commits intoEC-CUBE:maintenance/4.1from
dotani1111:fix/maintenance-4.1-github-actions

dotani1111 commented Jan 28, 2026

Uh oh!

coderabbitai Bot commented Jan 28, 2026

Review skipped

Uh oh!

dotani1111 commented Feb 4, 2026

Uh oh!

dotani1111 commented Feb 4, 2026

Uh oh!

Reviewers

Assignees

Labels

Projects

Milestone

Development

Uh oh!

12 participants

Conversation

dotani1111 commented Jan 28, 2026

概要(Overview・Refs Issue)

方針(Policy)

実装に関する補足(Appendix)

更新したアクションの詳細

chromedriverのポート指定

テスト（Test)

相談（Discussion）

マイナーバージョン互換性保持のための制限事項チェックリスト

レビュワー確認項目

Uh oh!

coderabbitai Bot commented Jan 28, 2026

Review skipped

Uh oh!

dotani1111 commented Feb 4, 2026

Uh oh!

dotani1111 commented Feb 4, 2026

Uh oh!

Reviewers

Assignees

Labels

Projects

Milestone

Development

Uh oh!

12 participants