GitHub Actions podría ser mucho mejor

 (blog.yossarian.net)
2 puntos por GN⁺ 2023-09-24 | 1 comentarios | Compartir por WhatsApp
  • El autor es usuario diario de GitHub Actions desde 2019 y valora nuevas funciones como los flujos de trabajo reutilizables, la conectividad OpenID, los resúmenes de trabajos y la integración con GitHub Mobile.
  • Sin embargo, el autor expresa su frustración porque el proceso de depuración en GitHub Actions consume mucho tiempo e implica varios cambios de contexto.
  • El autor propone mejoras como un shell de depuración interactivo y una configuración del repositorio que rechace commits con flujos de trabajo claramente inválidos.
  • El autor también destaca problemas de seguridad en GitHub Actions, por ejemplo, que es fácil escribir flujos de trabajo potencialmente vulnerables y que no hay distinción entre referencias SHA de forks y no forks.
  • El autor propone además soluciones como el rechazo en el momento del push de flujos de trabajo inseguros, verificaciones en tiempo de ejecución para los flujos de trabajo y alcances de token predeterminados más restrictivos.
  • El autor critica la ausencia de imposición de tipos en GitHub Actions, lo que provoca problemas de mantenimiento y seguridad.
  • El autor propone permitir que los autores de actions y flujos de trabajo usen type: en cualquier lugar, realizar verificaciones de tipos más estrictas e introducir los tipos type: object y type: array.
  • El autor también pide más actions oficiales de GitHub y colaborar con las actions de terceros más importantes para ofrecer más actions semioficiales.
  • El autor espera que los ingenieros de GitHub compartan estas preocupaciones y las resuelvan.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2023-09-24
Opinión de Hacker News
  • El artículo analiza dos tipos de flujos de trabajo de GitHub Actions: programar con GitHub Actions y configurarlo. Lo primero puede dar lugar a flujos de trabajo complejos y difíciles de entender, mientras que lo segundo crea flujos más simples y fáciles de mantener.
  • Los usuarios expresan su descontento por la falta de herramientas de depuración proporcionadas por Microsoft, y señalan que esto provoca un engorroso ciclo de commit-push-debug. Sugieren trasladar la complejidad de YAML a scripts para facilitar la depuración.
  • Algunos usuarios recomiendan usar herramientas como Act y Garden para resolver los problemas de depuración y crear pipelines portables que puedan ejecutarse en cualquier lugar, incluida la máquina local.
  • Los usuarios critican la falta de paralelización en GitHub Actions, el mal manejo de trabajos basados en contenedores y los límites de tamaño de caché, y se quejan de que no se puedan ejecutar pasos en paralelo dentro de la misma VM.
  • Los usuarios señalan problemas de seguridad en GitHub Actions y dicen que la incapacidad de distinguir entre referencias SHA de forks y no forks podría permitir que los forks eludan configuraciones de seguridad.
  • Algunos usuarios recomiendan usar pre-commit.ci para revisar y corregir el código antes de hacer commit, diciendo que funciona rápido y resuelve muchos problemas de depuración.
  • Los usuarios quieren una función que permita adjuntar reportes HTML a la ejecución de actions sin usar el actual actions/upload-artifact, y proponen una acción "attach-report" para poner un enlace al reporte HTML en el resumen del trabajo.
  • Los usuarios respaldan proyectos como Earthly, que permiten ejecutar todos los flujos de trabajo de CI en sus máquinas locales, y coinciden en que la mayor parte de lo que hace CI debería abstraerse en scripts u otras herramientas que no sean de CI.