我在我的GitHub 存储库中使用以下 yaml 将 NuGet 包发布到每次提交时的 Azure Artifacts 和 GitHub 包,并在我使用 Git 标记时发布到官方 NuGet 存储库。
- stage: Deploy
jobs:
- deployment: AzureArtefacts
displayName: 'Azure Artefacts'
pool:
vmImage: windows-latest
environment: 'Azure Artefacts'
strategy:
runOnce:
deploy:
steps:
- task: NuGetToolInstaller@1
displayName: 'NuGet Install'
- task: NuGetAuthenticate@0
displayName: 'NuGet Authenticate'
- script: nuget push $(Agent.BuildDirectory)\Windows\*.nupkg -Source https://pkgs.dev.azure.com/serilog-exceptions/_packaging/serilog-exceptions/nuget/v3/index.json -ApiKey AzureArtifacts -SkipDuplicate
displayName: 'NuGet Push'
failOnStderr: true
- deployment: GitHub
pool:
vmImage: windows-latest
environment: 'GitHub'
strategy:
runOnce:
deploy:
steps:
- task: NuGetToolInstaller@1
displayName: 'NuGet Install'
- script: nuget source Add -Name GitHub -Source https://nuget.pkg.github.com/RehanSaeed/index.json -UserName $(GitHubUserName) -Password $(GitHubPersonalAccessToken)
displayName: 'NuGet Add Source'
failOnStderr: true
- script: nuget push $(Agent.BuildDirectory)\Windows\*.nupkg -Source GitHub -SkipDuplicate
displayName: 'NuGet Push'
failOnStderr: true
- deployment: NuGet
pool:
vmImage: windows-latest
environment: 'NuGet'
condition: startsWith(variables['Build.sourceBranch'], 'refs/tags/')
strategy:
runOnce:
deploy:
steps:
- task: NuGetToolInstaller@1
displayName: 'Install NuGet'
- script: nuget push $(Agent.BuildDirectory)\Windows\*.nupkg -Source https://api.nuget.org/v3/index.json -ApiKey $(NuGetApiKey) -SkipDuplicate
displayName: 'NuGet Push'
failOnStderr: true
这在我签入时工作正常,但是当有人创建 PR 时,上述发布步骤失败,因为:
- Azure 工件 - 用户没有权限。
- GitHub - 用户无权使用秘密变量
GitHubUserName
和GitHubPersonalAccessToken
. - NuGet - 构建未从 Git 标记运行,因此此步骤不会运行。
是否可以从 PR 安全地运行 Azure Artifacts 和 GitHub 发布步骤?特别是,我不希望有人更改azure-pipelines.yml
我的Cake 构建 build.cake
文件来窃取我的秘密变量或发布他们自己的包。
如果这是不可能的,我想我必须从 PR 中跳过这些步骤。我怎样才能做到这一点?