团队难以从零开始创建安全、可投入生产的GitHub Actions工作流。此技能提供经过测试的模板,用于使用适当的密钥处理和审批门进行测试、构建和部署应用程序。
下载技能 ZIP
在 Claude 中上传
前往 设置 → 功能 → 技能 → 上传技能
开启并开始使用
测试它
正在使用“github-actions-templates”。 Create a test workflow for a Python project that runs on Ubuntu and macOS with Python 3.9 through 3.12
预期结果:
一个完整的YAML工作流文件,使用矩阵策略跨8种组合(2个操作系统 x 4个Python版本)进行测试,包括依赖项缓存、pytest执行和上传覆盖率到Codecov。
正在使用“github-actions-templates”。 Build and push a Docker image when a new version tag is created
预期结果:
一个工作流,在创建语义版本标签时触发,使用GITHUB_TOKEN登录GitHub Container Registry,使用版本化标签构建镜像,并使用元数据标签推送以进行跟踪。
安全审计
安全This skill is documentation-only containing GitHub Actions YAML workflow templates. All static analysis findings are false positives: the detected 'external_commands' are YAML run: syntax in markdown code blocks, 'network' references are URL configuration values, 'filesystem' patterns are reusable workflow references, and 'env_access' patterns are GitHub Actions secret syntax (${{ secrets.* }}). No executable code, no prompt injection attempts, and no security risks detected. The skill teaches legitimate DevOps practices including proper secret handling and secure workflow patterns.
质量评分
你能构建什么
初创公司CI/CD设置
无需深入的GitHub Actions专业知识,即可为新软件项目快速建立专业的测试和部署管道。
企业工作流标准化
使用可重用工作流模板和审批流程,在多个仓库中创建一致、安全的工作流模式。
开源项目自动化
跨多个操作系统和运行时版本设置自动化测试,以确保广泛的兼容性。
试试这些提示
创建一个GitHub Actions工作流,在每次向主分支提交拉取请求时运行测试。项目使用Node.js和npm。包括依赖项缓存和上传测试覆盖率报告。
生成一个工作流,在推送到主分支时构建Docker镜像,使用git SHA和版本标签进行标记,推送到GitHub Container Registry,并部署到暂存环境。包括适当的权限和密钥处理。
创建具有单独暂存和生产环境的部署工作流。生产部署需要手动审批。包括部署成功和失败的Slack通知,以及回滚功能。
构建一个全面的安全工作流,运行Trivy进行漏洞扫描,Snyk进行依赖项检查,CodeQL进行代码分析。将所有结果上传到GitHub Security标签,并在关键漏洞时使工作流失败。
最佳实践
- 将action版本固定到特定的主要版本(如@v4),而不是@latest或@main,以防止意外的破坏性更改和供应链攻击
- 对所有敏感值(包括API密钥、令牌和凭据)使用GitHub Secrets - 切勿在工作流文件中硬编码密钥
- 使用permissions块实施最低所需权限,并在生产部署中使用带有必需审批者的环境保护规则
避免
- 对第三方action使用@latest或分支引用,这可能引入破坏性更改或安全漏洞而不发出通知
- 将凭据或令牌直接存储在工作流文件或仓库代码中,而不是对所有敏感值使用GitHub Secrets
- 对来自具有写权限的fork的拉取请求运行不受信任的代码,这可能会暴露密钥或危害CI环境