<div style="display: flex; flex-wrap: wrap; white-space: pre-wrap; align-items: center; "><img height="20" width="20" style="border-radius:50%; margin-right: 4px;" decoding="async" src="https://avatars.githubusercontent.com/u/1557529?s=20&v=4" /><strong>larouxn</strong> left a comment <a href="https://github.com/openstreetmap/openstreetmap-website/pull/6332#issuecomment-3201851458">(openstreetmap/openstreetmap-website#6332)</a></div>
<p dir="auto">Like I said, it's highly unlikely anything actually malicious will occur since 1. all the actions in use are official ones and 2. the actions are only used for CI and PR utility. The inspiration behind this is that it's a best practice for security and predictability.</p>
<blockquote>
<p dir="auto">how am I supposed to evaluate if that is a genuine version or a bugged/infected/malicious version?</p>
</blockquote>
<p dir="auto">When a Dependabot PR appears one can read the README and if desired can click in and see the diff between the previous tag/commit and new tag/commit. This change at least allows us a chance to actually see what's changing in the GitHub Actions dependencies we use. Without it the underlying dependencies are just changing (excluding major version bumps) whenever a new version is released without any review.</p>

<p style="font-size:small;-webkit-text-size-adjust:none;color:#666;">—<br />Reply to this email directly, <a href="https://github.com/openstreetmap/openstreetmap-website/pull/6332#issuecomment-3201851458">view it on GitHub</a>, or <a href="https://github.com/notifications/unsubscribe-auth/AAK2OLORZCKVAPAUUTJHW5T3ONWTPAVCNFSM6AAAAACEFLIOFCVHI2DSMVQWIX3LMV43OSLTON2WKQ3PNVWWK3TUHMZTEMBRHA2TCNBVHA">unsubscribe</a>.<br />You are receiving this because you are subscribed to this thread.<img src="https://github.com/notifications/beacon/AAK2OLKED3ORZCPVRA23UL33ONWTPA5CNFSM6AAAAACEFLIOFCWGG33NNVSW45C7OR4XAZNMJFZXG5LFINXW23LFNZ2KUY3PNVWWK3TUL5UWJTV63BQEE.gif" height="1" width="1" alt="" /><span style="color: transparent; font-size: 0; display: none; visibility: hidden; overflow: hidden; opacity: 0; width: 0; height: 0; max-width: 0; max-height: 0; mso-hide: all">Message ID: <span><openstreetmap/openstreetmap-website/pull/6332/c3201851458</span><span>@</span><span>github</span><span>.</span><span>com></span></span></p>

<script type="application/ld+json">[
{
"@context": "http://schema.org",
"@type": "EmailMessage",
"potentialAction": {
"@type": "ViewAction",
"target": "https://github.com/openstreetmap/openstreetmap-website/pull/6332#issuecomment-3201851458",
"url": "https://github.com/openstreetmap/openstreetmap-website/pull/6332#issuecomment-3201851458",
"name": "View Pull Request"
},
"description": "View this Pull Request on GitHub",
"publisher": {
"@type": "Organization",
"name": "GitHub",
"url": "https://github.com"
}
}
]</script>