ci.yml 文件可能需要为了潜在的安全性进行新版本的跟进

d3george / slash-admin

A modern react admin. It is based on react 18, vite and TypeScript. It's fast !

https://admin.slashspaces.com/

MIT License

1.49k stars 218 forks source link

ci.yml 文件可能需要为了潜在的安全性进行新版本的跟进 #57

Closed ntscshen closed 3 months ago

ntscshen commented 3 months ago

actions/checkout pnpm/action-setup actions/setup-node 这三个包，可能需要跟进v4版本。 node-version 可能需要v20版本

因为，actions/checkout@v3 action在后台使用了node 16，但这被github弃用。Node16于2023年9月11日终止生命周期。

我们应该切换到actions/checkout@v4，它的默认运行在node20上，从 node版本支持上看 https://nodejs.org/en/about/previous-releases ，我们应该将整个自动化版本进行升级到20+版本。

d3george commented 3 months ago

这个可以删除的 demo网站其实是用vercel部署的，github action 还是有点弱

ntscshen commented 3 months ago

这个可以删除的 demo网站其实是用vercel部署的，github action 还是有点弱

OK，那等有时间提个PR 把这块删了。然后再加一个自动化 all-contributorsrc update-contributors.yml 脚本进去

d3george commented 3 months ago

我发现自动更新贡献者这个功能没什么必要，后面可能会去掉，但是 ci.yml中相关内容的升级是有必要的，你可以单独提个pr去处理ci.yml

ntscshen commented 3 months ago

我发现自动更新贡献者这个功能没什么必要，后面可能会去掉，但是 ci.yml中相关内容的升级是有必要的，你可以单独提个pr去处理ci.yml

我不太确定 vercel 部署相关设置是否和ci.yml有信息广联，只要将基本信息版本都都更近到V4就可以了

actions/checkout v4
action-setup v4
setup-node v4
pnpm v9
node v20+

自动化更新贡献者问题，必要性不强，确实不用加进项目中，我的PR提供一种 contributorsrc-cli 的一种实现思路，定制化比较强。不过可以在项目中加一层 contributor 机器人( https://allcontributors.org/docs/zh-cn/bot/overview )，在某个开发者PR通过之后艾特机器人即可。这种方式可能更方便一些。