workflow YAML файл

GitHub Actions workflow определяется как YAML-файл, который располагается в директории .github/workflows/ репозитория. Синтаксис этого файла управляет всеми аспектами CI/CD-пайплайна. Он является основой для автоматизации сборки, тестирования и развертывания кода. Важность понимания синтаксиса YAML файла для GitHub Actions неоценима, поскольку это ключ к эффективной и надежной автоматизации процессов разработки.

Как это работает

Workflow YAML файл включает ключевые элементы, такие как name, on (триггеры: push, pull_request, schedule, workflow_dispatch, repository_dispatch), jobs (каждый с runs-on, steps, опциональным needs для упорядочивания, if для условий, strategy для matrix). Также поддерживаются блоки env (переменные окружения), defaults (например, default shell), и permissions (scope GITHUB_TOKEN). В каждом задании runs-on выбирает среду runner'а, а список steps определяет упорядоченную последовательность записей uses (ссылки на actions) и run (shell-команды). Синтаксис YAML поддерживает with для передачи входных данных actions, env для переменных окружения, if для условного выполнения и matrix для fan-out сборок по нескольким версиям.

Когда применять

Workflow YAML файлы используются для определения различных триггеров, таких как push для автоматической сборки при каждом коммите или pull_request для выполнения тестов при открытии запроса на слияние. Также можно использовать schedule для запуска задач в определенное время или workflow_dispatch для запуска задач по требованию. Важно использовать конкретные SHA для пинга actions, а не теги, чтобы обеспечить стабильность и безопасность процесса.

Типичные ошибки

Ошибки в workflow YAML файле могут быть связаны с неправильными отступами YAML, что может привести к непредвиденному поведению или ошибкам компиляции. Также часто встречаются проблемы с использованием pull_request_target, который может быть запущен против базовой ветки с секретами, что является частым вектором атаки. Огромные блоки env на уровне workflow могут усложнять управление переменными окружения, поэтому рекомендуется использовать per-job или per-step подход. Секреты, непреднамеренно логируемые в ${{ }}, могут быть уязвимыми для утечек, поэтому следует использовать ::add-mask:: или secret-префикс для защиты.

Связанные понятия

• Синтаксис workflow
• on: триггеры
• jobs:
• steps: