GitHub Actions könnte so viel besser sein

 (blog.yossarian.net)
2 Punkte von GN⁺ 2023-09-24 | 1 Kommentare | Auf WhatsApp teilen
  • Der Autor ist seit 2019 täglicher Nutzer von GitHub Actions und schätzt neue Funktionen wie wiederverwendbare Workflows, OpenID-Integration, Job-Zusammenfassungen und die Integration in GitHub Mobile.
  • Der Autor äußert jedoch Unzufriedenheit darüber, dass der Debugging-Prozess in GitHub Actions viel Zeit kostet und mehrere Kontextwechsel erfordert.
  • Der Autor schlägt Verbesserungen vor, etwa eine interaktive Debugging-Shell und eine Repository-Einstellung, die Commits mit offensichtlich ungültigen Workflows ablehnt.
  • Der Autor hebt außerdem Sicherheitsprobleme bei GitHub Actions hervor, zum Beispiel dass sich potenziell verwundbare Workflows leicht schreiben lassen und dass nicht zwischen Fork- und Nicht-Fork-SHA-Referenzen unterschieden wird.
  • Der Autor schlägt zudem Lösungen vor wie die Zurückweisung unsicherer Workflows bereits beim Push, Laufzeitprüfungen für Workflows und standardmäßig stärker eingeschränkte Token-Berechtigungen.
  • Der Autor kritisiert auch das Fehlen von Typdurchsetzung in GitHub Actions, was zu Wartungs- und Sicherheitsproblemen führt.
  • Der Autor schlägt vor, Action- und Workflow-Autoren zu erlauben, überall type: zu verwenden, strengere Typprüfungen durchzuführen und die Typen type: object und type: array einzuführen.
  • Der Autor fordert außerdem mehr offizielle Actions von GitHub sowie die Zusammenarbeit mit den größten Drittanbieter-Actions, um mehr quasi-offizielle Actions bereitzustellen.
  • Der Autor hofft, dass GitHub-Ingenieure diese Probleme teilen und lösen werden.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2023-09-24
Hacker-News-Kommentare
  • Der Artikel diskutiert zwei Arten von GitHub-Actions-Workflows: das Programmieren mit GitHub Actions und das Konfigurieren davon. Ersteres kann zu komplexen und schwer verständlichen Workflows führen, während Letzteres einfachere und leichter wartbare Workflows schafft.
  • Nutzer äußern Unzufriedenheit über den Mangel an von Microsoft bereitgestellten Debugging-Tools und weisen darauf hin, dass dies zu einer umständlichen Commit-Push-Debug-Schleife führt. Sie schlagen vor, die YAML-Komplexität in Skripte auszulagern, um das Debugging zu erleichtern.
  • Einige Nutzer empfehlen den Einsatz von Tools wie Act und Garden, um Debugging-Probleme zu lösen und portable Pipelines zu erstellen, die überall laufen können, auch auf lokalen Rechnern.
  • Nutzer kritisieren den Mangel an Parallelisierung in GitHub Actions, den schlechten Umgang mit containerbasierten Jobs und die Begrenzung der Cache-Größe. Sie beklagen insbesondere, dass Schritte nicht parallel auf derselben VM ausgeführt werden können.
  • Nutzer weisen auf Sicherheitsprobleme bei GitHub Actions hin und sagen, dass die fehlende Möglichkeit, zwischen Fork- und Nicht-Fork-SHA-Referenzen zu unterscheiden, es Forks ermöglichen könnte, Sicherheitseinstellungen zu umgehen.
  • Einige Nutzer empfehlen die Verwendung von pre-commit.ci, um vor dem Commit Code zu prüfen und zu korrigieren, und sagen, dass es schnell arbeitet und viele Debugging-Probleme löst.
  • Nutzer wünschen sich eine Funktion, mit der sich HTML-Berichte an Action-Ausführungen anhängen lassen, ohne das aktuelle actions/upload-artifact zu verwenden, und schlagen eine attach-report-Action vor, die einen Link zum HTML-Bericht in der Job-Zusammenfassung platziert.
  • Nutzer unterstützen Projekte wie Earthly, die es ermöglichen, alle CI-Workflows auf dem lokalen Rechner auszuführen, und stimmen darin überein, dass das meiste, was CI tut, in Skripte oder andere Nicht-CI-Tools abstrahiert werden sollte.