1. 基础配置
- 触发器:合理使用
push/pull_request/workflow_dispatch;限制路径减少无效构建。 - Runner:优先使用官方托管;密集型任务可自建自托管 Runner。
2. 缓存与加速
- 使用
actions/cache缓存依赖,键包含锁文件哈希与 OS/语言版本。 - 多作业共享工件:
actions/upload-artifact与download-artifact。
3. 矩阵与复用
- 矩阵构建:多平台/多版本并行测试,提高覆盖率。
- 可复用工作流:
workflow_call提炼通用 CI 逻辑,团队复用。
4. 权限与安全
- 最小权限:显式设置
permissions,避免默认write-all。 - 密钥:全部放在
Secrets;切勿在日志回显;必要时加密写入。 - 供应链:使用 SHA 固定第三方 Action 版本;配合 Dependabot/Renovate。
5. 质量与可观测
- 报告:测试覆盖率、构建用时趋势;关键失败自动 @ 责任人。
- 并发与超时:避免队列积压;对长任务设置超时与取消策略。
借助以上要点,CI/CD 能既快又稳,且更安全、可维护。
