概要
GitHubは2026年4月24日、GitHub Appインストールトークンの新しいフォーマットへの移行を発表した。4月27日より段階的に適用が開始されており、「ステートレストークンフォーマット」の導入によってトークン発行のパフォーマンスと信頼性の向上が図られる。トークンのプレフィックス ghs_ は変更されないが、フォーマット全体は ghs_APPID_JWT 形式に移行し、トークン長が含まれるデータ量に応じて変動する約520文字に延長される。既存のトークンは有効期限まで引き続き使用可能だ。
影響範囲と展開スケジュール
今回の変更はGitHub Enterprise CloudおよびData Residency環境が対象で、GitHub Enterprise Serverへの影響はない。適用対象はサーバー間トークン(server-to-server tokens)とGitHub Actionsの GITHUB_TOKEN で、ユーザー間トークン(user-to-server tokens)については後日対応が予定されている。
展開は2段階で進められる。まず4月27日から5月中旬にかけてGitHub Actionsの GITHUB_TOKEN およびDependabotなどの主要な統合に対して新フォーマットが適用される。続いて5月中旬から6月下旬にかけて全GitHub Appインストールトークンへ拡大され、この期間にはブラウンアウト(一時的な旧形式の無効化)期間も実施される予定だ。
開発者が必要な対応
GitHubはトークンを「不透明な文字列(opaque string)」として扱うことを推奨しており、トークンの内部構造や長さに依存した実装は避けるべきとしている。具体的な対応として、ghs_[A-Za-z0-9]{36} のようなトークン長を固定した検証用正規表現を削除し、データベースのカラムサイズを最低520文字に対応させることが求められる。トークンの形式を検証するコードやトークン長を前提とした処理が存在する場合は、移行期間中に修正を完了させる必要がある。