Skip to content

ci(workflows): codeql-action auf v4-sha migrieren#91

Merged
tomtastisch merged 1 commit intomainfrom
codex/ci/codeql-action-v4-migration
Feb 17, 2026
Merged

ci(workflows): codeql-action auf v4-sha migrieren#91
tomtastisch merged 1 commit intomainfrom
codex/ci/codeql-action-v4-migration

Conversation

@tomtastisch
Copy link
Owner

@tomtastisch tomtastisch commented Feb 17, 2026

Ziel & Scope

Migration der in CI verwendeten github/codeql-action Referenzen von v3 auf v4 als SHA-Pin, um die bekannte Deprecation-Warnung zu beseitigen und den Security-/Maintenance-Stand production-ready zu halten.
Scope ist auf Workflow-Dateien begrenzt; keine Runtime-, API- oder Paket-Semantik-Aenderung im Produktcode.

Umgesetzte Aufgaben (abhaken)

  • github/codeql-action/init in /Users/tomwerner/RiderProjects/FileClassifier/.github/workflows/codeql.yml auf v4-SHA aktualisiert.
  • github/codeql-action/analyze in /Users/tomwerner/RiderProjects/FileClassifier/.github/workflows/codeql.yml auf v4-SHA aktualisiert.
  • github/codeql-action/upload-sarif in /Users/tomwerner/RiderProjects/FileClassifier/.github/workflows/qodana.yml auf v4-SHA aktualisiert.
  • Alle geaenderten Action-Referenzen bleiben SHA-gepinnt (kein Tag/Floating-Ref).
  • Pin-Quelle fuer v4 verifiziert (github/codeql-action Tag-Referenz auf Commit aufgeloest).
  • Lokale Workflow-Syntaxpruefung via actionlint ausgefuehrt.
  • Offene GitHub Security-Signale geprueft (code-scanning, dependabot, secret-scanning).
  • Branch-/PR-Schema gemaess Governance eingehalten.

Nachbesserungen aus Review (iterativ)

  • Keine Review-Nachbesserungen offen (initiale PR-Fassung bereits auf Governance-Template ausgerichtet).
  • Formulierungen und Scope strikt auf CI-Workflow-Migration begrenzt.

Security- und Merge-Gates

  • security/code-scanning/tools: 0 offene Alerts (Merge-Bedingung)
  • dependabot alerts: 0 offen
  • secret-scanning alerts: 0 offen
  • Keine Aenderung an /Users/tomwerner/RiderProjects/FileClassifier/SECURITY.md
  • Required Checks muessen vor Merge gruen sein
  • Keine offenen Review-Threads vor Merge

Evidence (auditierbar)

  • Geaenderte Dateien:
    • /Users/tomwerner/RiderProjects/FileClassifier/.github/workflows/codeql.yml
    • /Users/tomwerner/RiderProjects/FileClassifier/.github/workflows/qodana.yml
  • Ausgefuehrte Kommandos (lokal):
    • gh api repos/github/codeql-action/git/ref/tags/v4 | jq -r '.object.type+" "+.object.sha'
    • gh api repos/github/codeql-action/git/tags/<tag-sha> | jq -r '.object.type+" "+.object.sha'
    • actionlint .github/workflows/*.yml
    • gh api "repos/tomtastisch/FileClassifier/code-scanning/alerts?state=open&per_page=100" | jq 'length' -> 0
    • gh api "repos/tomtastisch/FileClassifier/dependabot/alerts?state=open&per_page=100" | jq 'length' -> 0
    • gh api "repos/tomtastisch/FileClassifier/secret-scanning/alerts?state=open&per_page=100" | jq 'length' -> 0
  • Verwendeter v4-SHA:
    • 9e907b5e64f6b83e7804b09294d44122997950d6 (github/codeql-action)

DoD (mindestens 2 pro Punkt)

Punkt DoD-1 DoD-2
CodeQL Workflow-Migration Alle 3 github/codeql-action Verwendungen zeigen auf v4-SHA Keine v3-Referenz mehr in .github/workflows/ vorhanden
Security-/Governance-Stand code-scanning/dependabot/secret-scanning offen jeweils 0 SHA-Pinning in den geaenderten Workflows bleibt erhalten
Merge-Readiness PR-Template mit Pflichtsektionen und Checklisten vorhanden Required Checks sind gruen und Threads sind resolved

Copilot AI review requested due to automatic review settings February 17, 2026 14:34
@github-actions github-actions bot added area:pipeline ci CI/workflow change impl:config versioning:patch Fix/Refactor/Docs/CI/Tooling; requires PATCH bump labels Feb 17, 2026
Copilot AI reviewed Feb 17, 2026
View reviewed changes
Copy link
Contributor

Copilot AI left a comment

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

Pull request overview

Migration der CI-Workflows auf github/codeql-action v4 (SHA-pinned), um die v3-Deprecation-Warnung zu entfernen und Code Scanning weiterhin kompatibel zu halten, ohne Produktcode-Semantik zu verändern.

Changes:

  • Update github/codeql-action/init und github/codeql-action/analyze in codeql.yml von v3-SHA auf v4-SHA.
  • Update github/codeql-action/upload-sarif in qodana.yml von v3-SHA auf v4-SHA.

Reviewed changes

Copilot reviewed 2 out of 2 changed files in this pull request and generated no comments.

File Description
.github/workflows/codeql.yml Aktualisiert CodeQL init/analyze auf v4 via SHA-Pin für das Advanced CodeQL Setup.
.github/workflows/qodana.yml Aktualisiert SARIF-Upload nach Code Scanning auf v4 via SHA-Pin.

@tomtastisch tomtastisch merged commit 86701b7 into main Feb 17, 2026
32 checks passed
@tomtastisch tomtastisch deleted the codex/ci/codeql-action-v4-migration branch February 17, 2026 14:39
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Reviewers

Copilot code review Copilot Copilot left review comments

Assignees

No one assigned

Labels

area:pipeline ci CI/workflow change impl:config versioning:patch Fix/Refactor/Docs/CI/Tooling; requires PATCH bump

Projects

None yet

Milestone

No milestone

Development

Successfully merging this pull request may close these issues.

1 participant

@tomtastisch

Comments