是什么阻止开发人员编辑 Github Actions yml 来部署非标准或昂贵的内容?

问题描述 投票:0回答:1

在Azure DevOps中,我们使用了一些管道模板,并且只允许Azure团队修改这些生产发布步骤。这帮助我们控制部署到 Azure 的内容。我不确定如何考虑 Github 中的控制/策略方面。我希望能够向审核员展示仅部署了批准的代码/基础设施,并且正在寻找想法和解决方案。

这是我目前的想法

  • 我知道我可以在我的 Github 存储库上添加一个环境,例如我可以将其命名为“prd”。
  • 我知道我们可以让我们的 azure 团队批准“prd”环境。
  • 但是,我不确定如何验证正在批准/部署的管道运行是否未部署非标准内容。
  • 一个想法是使用标准 yml 模板,但即使我们调用模板,也没有什么可以阻止任何贡献者向 yml 文件添加更多基础设施,对吗?

我们是否可以确保其他一些不需要的资源没有通过贡献者添加的 yml 步骤进行部署?

github github-actions
1个回答
0
投票

您可以将平台团队设置为 .github/workflows 目录上的 CODEOWNERS,以便对工作流程文件的任何更改都需要平台团队批准。这提供了严格的控制,但需要您的平台团队有权访问所有存储库。这也会产生对平台团队的依赖,并增加团队的额外时间需求。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.