GitHub Actions pourrait être bien meilleur

 (blog.yossarian.net)
2 points par GN⁺ 2023-09-24 | 1 commentaires | Partager sur WhatsApp
  • L’auteur est un utilisateur quotidien de GitHub Actions depuis 2019 et apprécie les nouvelles fonctionnalités comme les workflows réutilisables, la fédération OpenID, les résumés de tâches et l’intégration à GitHub Mobile.
  • Cependant, il se plaint du fait que le processus de débogage dans GitHub Actions prend beaucoup de temps et implique de nombreux changements de contexte.
  • Il propose des améliorations comme un shell de débogage interactif et un paramètre de dépôt qui rejette les commits contenant des workflows manifestement invalides.
  • Il souligne aussi des problèmes de sécurité dans GitHub Actions, par exemple la facilité avec laquelle on peut écrire des workflows potentiellement vulnérables et l’absence de distinction entre les références SHA de forks et de non-forks.
  • Il propose des solutions comme le rejet au moment du push des workflows non sûrs, des vérifications à l’exécution pour les workflows, ainsi qu’une portée de jeton par défaut plus restrictive.
  • Il critique également l’absence d’application des types dans GitHub Actions, ce qui entraîne des problèmes de maintenance et de sécurité.
  • Il propose d’autoriser les auteurs d’actions et de workflows à utiliser type: partout, de renforcer les contrôles de type et d’introduire les types type: object et type: array.
  • Il demande aussi davantage d’actions officielles de la part de GitHub, ainsi qu’une collaboration avec les plus grandes actions tierces pour créer davantage d’actions semi-officielles.
  • Il espère que les ingénieurs de GitHub partageront ces problèmes et les résoudront.

À lire aussi

1 commentaires

 
GN⁺ 2023-09-24
Commentaire Hacker News
  • L’article aborde deux types de workflows GitHub Actions : programmer avec GitHub Actions et le configurer. Le premier peut aboutir à des workflows complexes et difficiles à comprendre, tandis que le second produit des workflows plus simples et plus faciles à maintenir.
  • Les utilisateurs expriment leur frustration face au manque d’outils de débogage fournis par Microsoft, soulignant que cela entraîne une boucle commit-push-debug fastidieuse. Ils suggèrent de déplacer la complexité du YAML vers des scripts pour faciliter le débogage.
  • Certains utilisateurs recommandent d’utiliser des outils comme Act et Garden pour résoudre les problèmes de débogage et créer des pipelines portables pouvant s’exécuter n’importe où, y compris sur une machine locale.
  • Les utilisateurs critiquent le manque de parallélisation de GitHub Actions, la mauvaise gestion des tâches basées sur des conteneurs, ainsi que les limites de taille du cache, et se plaignent de l’impossibilité d’exécuter des étapes en parallèle sur la même VM.
  • Les utilisateurs pointent des problèmes de sécurité dans GitHub Actions, affirmant que l’incapacité à distinguer les références SHA de forks et de non-forks peut permettre à des forks de contourner les paramètres de sécurité.
  • Certains utilisateurs recommandent d’utiliser pre-commit.ci pour vérifier et corriger le code avant le commit, affirmant que cela fonctionne rapidement et résout de nombreux problèmes de débogage.
  • Les utilisateurs souhaitent une fonctionnalité permettant de joindre des rapports HTML aux exécutions d’actions sans utiliser l’actuel actions/upload-artifact, et proposent une action "attach-report" qui placerait un lien vers le rapport HTML dans le résumé de tâche.
  • Les utilisateurs soutiennent des projets comme Earthly, qui permettent d’exécuter tous les workflows CI sur leur machine locale, et s’accordent à dire que la plupart des tâches effectuées par la CI devraient être abstraites dans des scripts ou d’autres outils hors CI.