锁定 GitHub Actions 以实现可复现性和安全性

发布: 1个月前 (2025年12月26日 GMT+8 09:07)

1 分钟阅读

原文: Dev.to

Source: Dev.to

Pinning GitHub Actions 以实现可重复性和安全性的封面图片

为什么版本标签可能不安全

像 actions/checkout@v5 这样的版本标签是可变的——维护者可以移动它们、重新发布，甚至强制推送。这意味着你的工作流可能在明天运行不同的代码，而你这边并没有做任何更改。

将 Action 锁定到特定的提交 SHA 可以保证每次使用的代码完全相同。

# Get the SHA for a specific tag (e.g., v5.0.1)
gh api repos/actions/checkout/commits/v5.0.1 --jq '.sha'

然后在工作流中引用该 SHA：

- uses: actions/checkout@93cb6efe18208431cddfb8368fd83d5badbf9bfd # v5.0.1

想了解更深入的内容，请阅读完整文章。

我如何在零成本下将我的 .NET 应用翻译成 5 种语言作为一名独立开发者，我用 .NET 构建了一款面向医疗实践的应用。它最初只有英文版本……

这不是 Prompt，而是自然语言中的 Procedural DSL。在构建 LLM CodeForge 时，这是一款允许 LLM 读取、修改并自动测试代码的 agentic editor。

6 年 DevOps Engineer 必须了解的期望在这个层级，公司期望你能够：- 在压力下调试 connectivity issues - 理解 network flow …

零缓冲4K流媒体背后的工程：深入探讨高性能IPTV架构标签：webdev streaming architecture performance Canonical U...