GitHub Actions pode ser muito melhor

 (blog.yossarian.net)
2 pontos por GN⁺ 2023-09-24 | 1 comentários | Compartilhar no WhatsApp
  • O autor é um usuário diário do GitHub Actions desde 2019 e aprecia recursos novos como workflows reutilizáveis, conexão OpenID, resumos de jobs e integração com o GitHub Mobile.
  • No entanto, o autor expressa frustração com o fato de que o processo de depuração no GitHub Actions consome muito tempo e envolve várias mudanças de contexto.
  • O autor propõe melhorias como um shell de depuração interativo e uma configuração de repositório que rejeite commits com workflows claramente inválidos.
  • O autor também destaca problemas de segurança no GitHub Actions, por exemplo, como é fácil escrever workflows potencialmente vulneráveis e como não há distinção entre referências SHA de fork e de não-fork.
  • O autor propõe ainda soluções como rejeição no momento do push para workflows inseguros, verificações em tempo de execução para workflows e escopos de token padrão mais restritivos.
  • O autor critica a ausência de imposição de tipos no GitHub Actions, o que causa problemas de manutenção e segurança.
  • O autor propõe permitir que autores de actions e workflows usem type: em qualquer lugar, aplicar verificações de tipo mais rígidas e introduzir os tipos type: object e type: array.
  • O autor também pede mais actions oficiais do GitHub e mais actions semi-oficiais em parceria com os maiores projetos de terceiros.
  • O autor espera que os engenheiros do GitHub compartilhem essas preocupações e as resolvam.

Leituras relacionadas

1 comentários

 
GN⁺ 2023-09-24
Comentários do Hacker News
  • O artigo discute dois tipos de fluxos de trabalho do GitHub Actions: programar com GitHub Actions e configurá-lo. O primeiro pode resultar em fluxos de trabalho complexos e difíceis de entender, enquanto o segundo cria fluxos de trabalho mais simples e fáceis de manter.
  • Os usuários expressam frustração com a falta de ferramentas de depuração oferecidas pela Microsoft, observando que isso leva a um incômodo ciclo de commit-push-debug. Eles sugerem empurrar a complexidade do YAML para scripts para facilitar a depuração.
  • Alguns usuários recomendam usar ferramentas como Act e Garden para resolver problemas de depuração e criar pipelines portáveis que possam ser executados em qualquer lugar, inclusive na máquina local.
  • Os usuários criticam a falta de paralelização no GitHub Actions, o tratamento ruim de jobs baseados em contêiner, os limites de tamanho de cache e reclamam da incapacidade de executar etapas em paralelo na mesma VM.
  • Os usuários apontam problemas de segurança no GitHub Actions, dizendo que a incapacidade de diferenciar referências SHA de forks e não forks pode permitir que forks contornem configurações de segurança.
  • Alguns usuários recomendam usar pre-commit.ci para verificar e corrigir o código antes do commit, dizendo que ele funciona rapidamente e resolve muitos problemas de depuração.
  • Os usuários querem um recurso para anexar relatórios HTML à execução da action sem usar o atual actions/upload-artifact, e propõem uma action "attach-report" para colocar um link para o relatório HTML no resumo do job.
  • Os usuários apoiam projetos como Earthly, que permitem executar todos os fluxos de trabalho de CI na própria máquina local, e concordam que a maior parte do que o CI faz deveria ser abstraída em scripts ou outras ferramentas que não sejam de CI.