chore(deps): bump oven-sh/setup-bun from 1.2.1 to 1.2.2

[dependabot[bot]]

Bumps oven-sh/setup-bun from 1.2.1 to 1.2.2.

Release notes

Sourced from oven-sh/setup-bun's releases.

v1.2.2

oven-sh/setup-bun is the github action for setting up Bun.

This release introduces support for the bun-download-url input, which lets you override the URL used to download the .zip file for Bun.

Here's an example:

- name: Setup Bun
  uses: oven-sh/setup-bun@v1.2.2
  with:
    bun-version: latest
    bun-download-url: "https://github.com/oven-sh/bun/releases/latest/download/bun-${{runner.os == 'macOS' && 'darwin' || runner.os}}-${{ runner.arch == 'X64' && 'x64' || 'arm64' }}.zip"

Commits

• f4d14e0 Add bun-download-url to actions.yml and rebuild (#83)
• See full diff in compare view

Dependabot will resolve any conflicts with this PR as long as you don't alter it yourself. You can also trigger a rebase manually by commenting @dependabot rebase.

---

Dependabot commands and options

You can trigger Dependabot actions by commenting on this PR: - `@dependabot rebase` will rebase this PR - `@dependabot recreate` will recreate this PR, overwriting any edits that have been made to it - `@dependabot merge` will merge this PR after your CI passes on it - `@dependabot squash and merge` will squash and merge this PR after your CI passes on it - `@dependabot cancel merge` will cancel a previously requested merge and block automerging - `@dependabot reopen` will reopen this PR if it is closed - `@dependabot close` will close this PR and stop Dependabot recreating it. You can achieve the same result by closing it manually - `@dependabot show ignore conditions` will show all of the ignore conditions of the specified dependency - `@dependabot ignore this major version` will close this PR and stop Dependabot creating any more for this major version (unless you reopen the PR or upgrade to it yourself) - `@dependabot ignore this minor version` will close this PR and stop Dependabot creating any more for this minor version (unless you reopen the PR or upgrade to it yourself) - `@dependabot ignore this dependency` will close this PR and stop Dependabot creating any more for this dependency (unless you reopen the PR or upgrade to it yourself)

[blendthink]

@YumNumm Dependabot の作成するプルリクエストでは、通常のシークレットにアクセスできないため CLOUDFLARE_API_TOKEN や CLOUDFLARE_ACCOUNT_ID にアクセスできず null として扱われて失敗してしまっているようです。

https://github.com/FlutterKaigi/2024/actions/runs/9356948197/job/25986686314

対応策としては Dependabot のシークレット側にも登録するか、 Dependabot が作成するプルリクエストの場合は一部のワークフローを実行させないようにするくらいかなぁと考えていますが、いかがいたしましょうか？

https://docs.github.com/ja/code-security/dependabot/working-with-dependabot/configuring-access-to-private-registries-for-dependabot#dependabot-%E3%81%AB%E3%83%AA%E3%83%9D%E3%82%B8%E3%83%88%E3%83%AA%E3%82%B7%E3%83%BC%E3%82%AF%E3%83%AC%E3%83%83%E3%83%88%E3%82%92%E8%BF%BD%E5%8A%A0%E3%81%99%E3%82%8B

[YumNumm]

@blendthink

お疲れ様です。 dependabotによって変更された依存関係で正常にビルドできるかどうかを検証するために Workflowの無効化はできれば行いたくないですね👀

> 対応策としては Dependabot のシークレット側にも登録するか

dependabot のシークレットは、.github/dependabot.yaml内のsecretに展開されるもので、dependabotが作成したPRのWorkflow時の変数とは違うような気がします (もしかしたら自分の認識違いかもしれません)

Dependabot シークレットには、Dependabot pull request によってトリガーされる GitHub Actions ワークフローで使用されるシークレットも含まれます。 (引用元)

dependabotのsecretは dependabotが作成したPRによってトリガーされたWorkflow内でも利用されるのですね!! であれば、Actionsに設定しているSecretをdependabotにも設定しようと思います!

[blendthink]

@YumNumm こちら対応終わったら教えてください〜

[YumNumm]

@dependabot recreate

[blendthink]

あ、、別の権限不足でデプロイが失敗してますね。。orz

[blendthink]

@YumNumm CI が失敗する問題解決をして、マージしておきました👍