피드로 돌아가기
GitHub lets org admins switch off the default hosted runner labels
Dev.toDev.to
DevOps

GitHub Actions 기본 Runner Label 제어를 통한 거버넌스 강화

GitHub lets org admins switch off the default hosted runner labels

Leo2026년 6월 28일3intermediate

Context

기존 GitHub Actions의 ubuntu-latest 등 기본 Label은 조직 수준에서 암시적으로 허용되는 구조임. 이로 인해 플랫폼 팀이 구축한 보안 강화 이미지(Hardened Image)를 우회하여 기본 이미지를 사용하는 설정 오류 및 보안 취약점 발생 위험이 존재함.

Technical Solution

  • Standard hosted runner setting 도입을 통한 조직 단위의 기본 Label 비활성화 제어
  • ubuntu-latest 등 범용 Label의 Resolution 프로세스를 차단하여 명시적 Runner 지정 강제
  • Runner Group 기반의 macOS 제어 로직을 통해 Access, Concurrency, Routing 권한 세분화
  • Policy Bot이나 YAML 스캔 방식의 사후 검증을 시스템 수준의 원천 차단 구조로 전환
  • Curated Pool 설계를 통한 플랫폼 팀 검증 기반의 Runner Catalogue 운영 체계 구축
  • Workflow YAML 내 Runner Group Name 참조를 통한 정교한 리소스 라우팅 구현

- 기존 Workflow 내 ubuntu-latest 하드코딩 현황 전수 조사 - 조직 내 표준으로 사용할 Named Runner Pool 정의 및 Catalogue 구축 - 기본 Label 비활성화 전 마이그레이션 기간 설정 및 가이드 배포 - macOS Runner 사용 시 Team/Enterprise 플랜 여부 및 Network Configuration 제약 사항 확인

원문 읽기