super-linter v8対応

super-linterのv7からv8へのアップグレードに伴う各種修正。

Workflowの修正:
- super-linter/super-linterアクションをSHAでピン留め
- persist-credentials: falseを追加
- BIOME_LINTを無効化
- zizmor: テンプレートインジェクション警告を修正 (dockle.yml, fix_env.yml)
- dependabot: cooldownを7日に設定

Linter設定の追加:
- .github/linters/.python-lint: ノートブック向けpylint設定を追加
- .github/linters/trivy.yaml: TRIVY設定を追加
- .github/linters/trivy-secret.yaml: .gitleaks.tomlの誤検知を抑制

Notebookの修正:
super-linter v8でJupyter notebook向けlinterが有効化されたため、
各linterのエラーをnotebookに対して修正した。
docker/work直下の問題ノートブックとdocker/work/answer内の解答ノートブックは
対応関係にあるため、両方に同じ修正を適用した。

- JUPYTER_NBQA_BLACK: シングルクォートをダブルクォートに統一するなど、
  blackのコードスタイルに準拠するようフォーマットを修正
- JUPYTER_NBQA_FLAKE8:
  - F401: 演習用として配置されている未使用インポートに # noqa: F401 を追加
  - E402: SQLノートブックでは %load_ext sql マジックコマンドの後にインポートが
    あるためE402が発生する。これを抑制するため # noqa: E402 を追加
  - F821: ans_preprocess_knock_Python.ipynb で display が未インポートのまま
    使用されているため from IPython.display import display を追加。
    また、問題・解答ノートブック間でインポートを揃えるため、
    preprocess_knock_Python.ipynb にも同インポートを # noqa: F401 付きで追加
- JUPYTER_NBQA_ISORT: インポートの順序がisortのルールに従っていないため修正
- JUPYTER_NBQA_PYLINT:
  - W0109: dtype辞書でpostal_cdキーが重複していたバグを修正
  - R1705/R1710: pct_group関数でreturnの後にelifを使用していたため、
    elif を if に変更し、返り値の一貫性も修正

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>

Author: massongit

.github/dependabot.yml

@@ -10,13 +10,19 @@ updates:
     schedule:
       interval: "daily"
     open-pull-requests-limit: 1
+    cooldown:
+      default-days: 7
   - package-ecosystem: "docker"
     directory: "/dockerfiles/postgres"
     schedule:
       interval: "daily"
     open-pull-requests-limit: 1
+    cooldown:
+      default-days: 7
   - package-ecosystem: "docker"
     directory: "/dockerfiles/notebook"
     schedule:
       interval: "daily"
     open-pull-requests-limit: 1
+    cooldown:
+      default-days: 7

.github/linters/.python-lint

@@ -0,0 +1,21 @@
+# https://github.com/super-linter/super-linter/blob/eec862d0ea33fe6a836dfd545eef1125e530c794/TEMPLATES/.python-lint
+[MASTER]
+
+# Use multiple processes to speed up Pylint.
+jobs=0
+
+[MESSAGES CONTROL]
+
+# Ignoring Import Errors is desired as super-linter
+# does not support installing dependencies as it runs
+disable=
+    import-error,
+    C0103,
+    C0114,
+    C0116,
+    C0302,
+    C0413,
+    R0801,
+    W0104,
+    W0611,
+    W0621,

.github/linters/trivy-secret.yaml

@@ -0,0 +1,4 @@
+allow-rules:
+  - id: allow-gitleaks-gcp-rule
+    description: .gitleaks.toml に含まれるGCPサービスアカウントパターンはregexルールの定義であり、実際のシークレットではない
+    path: ".*\\.gitleaks\\.toml$"

.github/linters/trivy.yaml

@@ -0,0 +1,12 @@
+---
+# https://github.com/super-linter/super-linter/blob/542ff97039e06088e30e3306fd6c34a3090e3946/TEMPLATES/trivy.yaml
+disable-telemetry: true
+exit-code: 1
+exit-on-eol: 2
+scan:
+  scanners:
+    - vuln
+    - misconfig
+    - secret
+secret:
+  config: /github/workspace/.github/linters/trivy-secret.yaml

.github/workflows/dockle.yml

@@ -15,6 +15,7 @@ jobs:
       - uses: actions/checkout@de0fac2e4500dabe0009e67214ff5f5447ce83dd # v6.0.2
         with:
           fetch-depth: 0
+          persist-credentials: false
       - name: Run docker containers
         run: docker compose up -d
       - name: Get latest dockle version
@@ -34,7 +35,7 @@ jobs:
           for image_name in $(docker compose images | awk 'OFS=":" {print $2,$3}' | tail -n +2); do
             docker save "${image_name}" | gzip > image.tar.gz
             cmd="docker run --rm -v /var/run/docker.sock:/var/run/docker.sock -v $(pwd)/.dockleignore:/.dockleignore -v $(pwd)/image.tar.gz:/image.tar.gz "
-            cmd+="goodwithtech/dockle:${{ steps.get_latest_dockle_version.outputs.result }} --exit-code 1 --exit-level info --input /image.tar.gz "
+            cmd+="goodwithtech/dockle:${DOCKLE_VERSION} --exit-code 1 --exit-level info --input /image.tar.gz "
 
             if [[ "${image_name}" =~ "dss-notebook" ]]; then
               cmd+="--timeout 600s -ae mdf -af settings.py -af credentials -i DKL-DI-0001 "
@@ -46,3 +47,5 @@ jobs:
             echo "> ${cmd}"
             eval "${cmd}"
           done
+        env:
+          DOCKLE_VERSION: ${{ steps.get_latest_dockle_version.outputs.result }}

.github/workflows/fix_env.yml

@@ -23,6 +23,7 @@ jobs:
         if: github.event_name != 'pull_request' || github.event.action != 'closed'
         with:
           fetch-depth: 0
+          persist-credentials: false
           ref: ${{ github.event.pull_request.head.sha }}
       - name: Get Python version
         id: get_python_version
@@ -44,11 +45,13 @@ jobs:
           pip install -r requirements.txt
           pipenv install
       - if: github.event_name != 'pull_request' || github.event.action != 'closed'
-        run: sed -i -e "s/python_version = \".*\"/python_version = \"${{ steps.get_python_version.outputs.minor_version }}\"/g" Pipfile
+        run: sed -i -e "s/python_version = \".*\"/python_version = \"${PYTHON_VERSION}\"/g" Pipfile
+        env:
+          PYTHON_VERSION: ${{ steps.get_python_version.outputs.minor_version }}
       - name: Copy packages from Pipfile to environment.yml
         if: github.event_name != 'pull_request' || github.event.action != 'closed'
         run: |
-          sed -i -e "s/ python=.*/ python=${{ steps.get_python_version.outputs.minor_version }}/g" environment.yml
+          sed -i -e "s/ python=.*/ python=${PYTHON_VERSION}/g" environment.yml
           for package_name in $(yq -p toml -o tsv '.packages | keys' Pipfile)
           do
             if ! grep "$package_name" environment.yml
@@ -61,6 +64,8 @@ jobs:
             sed -i -e "s/ $package_name==[0-9.]*$/ $package/g" environment.yml
             sed -i -e "s/ $package_name=[0-9.]*$/ ${package//==/=}/g" environment.yml
           done
+        env:
+          PYTHON_VERSION: ${{ steps.get_python_version.outputs.minor_version }}
       - uses: dev-hato/actions-diff-pr-management@b446497d139ed3eadc62ec1dd90dd27960ad1a0c # v2.2.4
         if: success() || failure()
         with:

.github/workflows/run_notebooks.yml

@@ -15,6 +15,7 @@ jobs:
       - uses: actions/checkout@de0fac2e4500dabe0009e67214ff5f5447ce83dd # v6.0.2
         with:
           fetch-depth: 0
+          persist-credentials: false
       - name: Run docker containers
         run: docker compose up -d --wait
       - name: Run notebooks

.github/workflows/super-linter.yml

@@ -44,15 +44,17 @@ jobs:
         with:
           # Full git history is needed to get a proper list of changed files within `super-linter`
           fetch-depth: 0
+          persist-credentials: false
 
       ################################
       # Run Linter against code base #
       ################################
       - name: Lint Code Base
-        uses: super-linter/super-linter@v8.3.1
+        uses: super-linter/super-linter@47984f49b4e87383eed97890fe2dca6063bbd9c3 # v8.3.1
         env:
           GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}
           VALIDATE_HTML: false
           VALIDATE_HTML_PRETTIER: false
           FILTER_REGEX_EXCLUDE: docker/.jupyter/jupyter_lab_config.py
           VALIDATE_SQLFLUFF: false
+          VALIDATE_BIOME_LINT: false