GitHub Actions có thể trở nên tốt hơn rất nhiều

 (blog.yossarian.net)
2 điểm bởi GN⁺ 2023-09-24 | 1 bình luận | Chia sẻ qua WhatsApp
  • Tác giả là người dùng GitHub Actions hằng ngày từ năm 2019 và đánh giá cao các tính năng mới như workflow tái sử dụng được, kết nối OpenID, job summary và tích hợp với GitHub Mobile.
  • Tuy nhiên, tác giả bày tỏ sự không hài lòng vì quá trình debug trên GitHub Actions tốn nhiều thời gian và đòi hỏi phải chuyển đổi qua lại giữa nhiều ngữ cảnh.
  • Tác giả đề xuất các cải tiến như shell debug tương tác và thiết lập kho lưu trữ để từ chối các commit có workflow rõ ràng là không hợp lệ.
  • Tác giả cũng nhấn mạnh các vấn đề bảo mật của GitHub Actions, chẳng hạn việc viết ra các workflow có khả năng dễ bị tấn công là quá dễ, và không có sự phân biệt giữa tham chiếu SHA của fork và không phải fork.
  • Tác giả đề xuất các giải pháp như từ chối lúc push đối với workflow không an toàn, kiểm tra runtime cho workflow và phạm vi token mặc định mang tính hạn chế hơn.
  • Tác giả phê bình việc thiếu ép kiểu trong GitHub Actions, điều dẫn đến các vấn đề về bảo trì và bảo mật.
  • Tác giả đề xuất cho phép tác giả action và workflow sử dụng type: ở mọi nơi, áp dụng kiểm tra kiểu nghiêm ngặt hơn, đồng thời bổ sung các kiểu type: objecttype: array.
  • Tác giả cũng kêu gọi GitHub cung cấp thêm nhiều action chính thức hơn, đồng thời hợp tác với các action bên thứ ba lớn nhất để có thêm nhiều action bán chính thức.
  • Tác giả hy vọng các kỹ sư GitHub sẽ cùng chia sẻ và giải quyết những vấn đề này.

Bài viết liên quan

1 bình luận

 
GN⁺ 2023-09-24
Ý kiến trên Hacker News
  • Bài viết bàn về hai kiểu workflow GitHub Actions: lập trình bằng GitHub Actions và cấu hình GitHub Actions. Kiểu đầu có thể dẫn đến các workflow phức tạp, khó hiểu, trong khi kiểu sau tạo ra các workflow đơn giản hơn và dễ quản lý hơn.
  • Người dùng bày tỏ sự không hài lòng về việc thiếu công cụ gỡ lỗi do Microsoft cung cấp, điều này dẫn đến vòng lặp commit-push-debug phiền toái. Họ đề xuất đẩy độ phức tạp của YAML sang script để việc gỡ lỗi trở nên dễ dàng hơn.
  • Một số người dùng khuyến nghị dùng các công cụ như Act và Garden để giải quyết vấn đề gỡ lỗi và tạo ra các pipeline có thể di chuyển, có thể chạy ở bất cứ đâu, kể cả trên máy cục bộ.
  • Người dùng chỉ trích GitHub Actions vì thiếu khả năng song song hóa, xử lý kém các tác vụ dựa trên container và giới hạn kích thước cache; họ cũng phàn nàn về việc không thể chạy các bước song song trên cùng một VM.
  • Người dùng chỉ ra các vấn đề bảo mật của GitHub Actions, nói rằng việc không thể phân biệt tham chiếu SHA từ fork và non-fork có thể khiến fork vượt qua các thiết lập bảo mật.
  • Một số người dùng khuyến nghị sử dụng pre-commit.ci để kiểm tra và sửa mã trước khi commit, cho biết công cụ này chạy nhanh và giải quyết được nhiều vấn đề gỡ lỗi.
  • Người dùng muốn có khả năng đính kèm báo cáo HTML vào lần chạy action mà không cần dùng actions/upload-artifact hiện tại, và đề xuất một action attach-report để đặt liên kết đến báo cáo HTML trong phần tóm tắt công việc.
  • Người dùng ủng hộ các dự án như Earthly, cho phép chạy mọi workflow CI trên máy cục bộ của họ, và đồng ý rằng phần lớn những gì CI làm nên được trừu tượng hóa bằng script hoặc các công cụ không phải CI khác.