0

我在我的GitHub 存储库中使用以下 yaml 将 NuGet 包发布到每次提交时的 Azure Artifacts 和 GitHub 包,并在我使用 Git 标记时发布到官方 NuGet 存储库。

- stage: Deploy
  jobs:
  - deployment: AzureArtefacts
    displayName: 'Azure Artefacts'
    pool:
      vmImage: windows-latest
    environment: 'Azure Artefacts'
    strategy:
      runOnce:
        deploy:
          steps:
          - task: NuGetToolInstaller@1
            displayName: 'NuGet Install'
          - task: NuGetAuthenticate@0
            displayName: 'NuGet Authenticate'
          - script: nuget push $(Agent.BuildDirectory)\Windows\*.nupkg -Source https://pkgs.dev.azure.com/serilog-exceptions/_packaging/serilog-exceptions/nuget/v3/index.json -ApiKey AzureArtifacts -SkipDuplicate
            displayName: 'NuGet Push'
            failOnStderr: true
  - deployment: GitHub
    pool:
      vmImage: windows-latest
    environment: 'GitHub'
    strategy:
      runOnce:
        deploy:
          steps:
          - task: NuGetToolInstaller@1
            displayName: 'NuGet Install'
          - script: nuget source Add -Name GitHub -Source https://nuget.pkg.github.com/RehanSaeed/index.json -UserName $(GitHubUserName) -Password $(GitHubPersonalAccessToken)
            displayName: 'NuGet Add Source'
            failOnStderr: true
          - script: nuget push $(Agent.BuildDirectory)\Windows\*.nupkg -Source GitHub -SkipDuplicate
            displayName: 'NuGet Push'
            failOnStderr: true
  - deployment: NuGet
    pool:
      vmImage: windows-latest
    environment: 'NuGet'
    condition: startsWith(variables['Build.sourceBranch'], 'refs/tags/')
    strategy:
      runOnce:
        deploy:
          steps:
          - task: NuGetToolInstaller@1
            displayName: 'Install NuGet'
          - script: nuget push $(Agent.BuildDirectory)\Windows\*.nupkg -Source https://api.nuget.org/v3/index.json -ApiKey $(NuGetApiKey) -SkipDuplicate
            displayName: 'NuGet Push'
            failOnStderr: true

这在我签入时工作正常,但是当有人创建 PR 时,上述发布步骤失败,因为:

  • Azure 工件 - 用户没有权限。
  • GitHub - 用户无权使用秘密变量GitHubUserNameGitHubPersonalAccessToken.
  • NuGet - 构建未从 Git 标记运行,因此此步骤不会运行。

是否可以从 PR 安全地运行 Azure Artifacts 和 GitHub 发布步骤?特别是,我不希望有人更改azure-pipelines.yml我的Cake 构建 build.cake文件来窃取我的秘密变量或发布他们自己的包。

如果这是不可能的,我想我必须从 PR 中跳过这些步骤。我怎样才能做到这一点?

4

1 回答 1

1

如果这是不可能的?

恐怕这是不可能做到的。由于用户没有权限,因此秘密变量GitHubUserNameGitHubPersonalAccessToken. 这是这个问题的关键,如果你不想泄露你的秘密变量,这是无法避免的。

我想我必须从 PR 中跳过这些步骤。我怎样才能做到这一点?

答案是肯定的。

您可以使用表达式评估内置变量Build.Reason来确定任务是否正在执行构建作为拉取请求分支策略的一部分,例如:

condition: and(succeeded(), ne(variables['Build.Reason'], 'PullRequest'))

然后,当构建由PullRequest.

检查文档条件以获取更多详细信息。

希望这可以帮助。

于 2019-10-11T07:57:16.310 回答