Workflow AST可視化で進めるPlatform Governance 2026

自動化ワークフローが増えた2026年、YAMLを行単位で読むレビューは限界です。実際に必要なのは、テキストではなくワークフローの意味構造を把握すること。そこで有効なのがAST（抽象構文木）可視化です。

AST可視化は、セキュリティ・プラットフォーム・開発の会話を「書き方」から「挙動」に移せます。

なぜテキストレビューは抜け漏れるのか

現在のWorkflowは再利用アクション、条件分岐、matrix、権限スコープが絡みます。行単位レビューでは次を見落としがちです。

• 高権限経路が条件分岐で潜む
• デプロイ経路が重複して増殖する
• 並列数の暴走でコストが跳ねる
• チェックを迂回する条件式が混入する

GitHub周辺の変更履歴でも、こうした「意味上の差分」が事故原因になりやすいことが示されています。

ASTを統制面として扱う

Workflow定義をAST化すると、統制に必要な情報を機械的に抽出できます。

• 正規化されたジョブ依存グラフ
• ジョブごとの実効権限スコープ
• シークレット/コンテキスト露出経路
• トリガー種別ごとの実行面

この時点でレビュー対象が「記法」から「運用リスク」に変わります。

実務で効く4つの可視化

1. 実行グラフ

ジョブと依存関係を表示し、デプロイや公開など破壊力の高い経路を強調します。

2. 権限ヒートマップ

トークンスコープ、環境アクセス、外部アクション信頼度を色分けします。

3. データフロー図

artifactやcache、secretがどこへ流れるかを可視化し、境界越えを明示します。

4. トリガー面パネル

push/PR/schedule/manualなどトリガー別に、起動される経路を要約します。

この4つだけで、レビュー品質は大幅に上がります。

Policy as Codeと結合する

可視化は「見るだけ」で終わると定着しません。PRチェックへ統合します。

1. PRごとにWorkflowをAST化
2. ASTに対してポリシー評価
3. 可視差分と違反をチェック結果に表示
4. 高リスク差分は追加承認を必須化

高リスクの例:

• 本番デプロイ経路の新設
• 権限スコープの拡大
• pinされていない外部Action追加
• 検証ステップの削除

レビュー運用は2レーン化する

• 高速レーン: 低リスク変更（文言、軽微修正）
• 統制レーン: 権限/デプロイ/インフラ変更

SLOを分けることで、開発速度と安全性の両立がしやすくなります。

効果検証に使う指標

• マージ前に検知できた違反率
• 統制レーンの平均レビュー時間
• 自動化起因のロールバック件数
• 最小権限適用済みWorkflow比率

regex中心の検知より、ASTルールの方が誤検知を減らしやすい点も実務上の利点です。

よくある失敗

CI実装に過度依存する

最初はGitHub Actionsでも、内部では中間表現を持つべきです。

ダッシュボード止まり

マージゲートと連動しない可視化は、数か月で見られなくなります。

開発者体験を無視する

違反表示だけでは反発されます。修正提案まで返す設計が重要です。

60日導入テンプレート

1-2週

• ASTスキーマ定義
• 重要30リポジトリを解析
• 基本リスクパターンを抽出

3-4週

• PR可視差分を導入
• まずは警告モードで運用
• 誤検知フィードバックを収集

5-8週

• 一部ルールをブロッキング化
• 統制レーンの責任者を明確化
• 月次レポートを公開

まとめ

Workflow AST可視化は、開発を止めるための統制ではありません。自動化の意味構造を監査可能にし、事故を前倒しで防ぐための基盤です。

自動化量が増え続ける今、AST前提のガバナンスは早めに整備するほど効きます。