GitHub Actionsは、セキュリティリスクのためにset-env
とadd-path
非推奨にしています: https :
現在、 `setup-miniconda 'アクションには次の行があります。
$ grep setup-miniconda/ -nre "set-env"
setup-miniconda//dist/delete/index.js:577: * ::set-env name=MY_VAR::some value
setup-miniconda//dist/delete/index.js:700: command_1.issueCommand('set-env', { name }, convertedVal);
setup-miniconda//dist/setup/index.js:17524: * ::set-env name=MY_VAR::some value
setup-miniconda//dist/setup/index.js:20008: command_1.issueCommand('set-env', { name }, convertedVal);
$ grep setup-miniconda/ -nre "add-path"
setup-miniconda//dist/delete/index.js:722: command_1.issueCommand('add-path', {}, inputPath);
setup-miniconda//dist/setup/index.js:20030: command_1.issueCommand('add-path', {}, inputPath);
GHAワークフローで使用するときにこの警告が発生する原因は次のとおりです。
The `add-path` command is deprecated and will be disabled soon. Please upgrade to using Environment Files. For more information see: https://github.blog/changelog/2020-10-01-github-actions-deprecating-set-env-and-add-path-commands/
The `set-env` command is deprecated and will be disabled soon. Please upgrade to using Environment Files. For more information see: https://github.blog/changelog/2020-10-01-github-actions-deprecating-set-env-and-add-path-commands/
これは#78の複製のようです。 #79で修正しました。まもなくリリースします!
素晴らしい! 申し訳ありませんが、これを送信する前にオープンPRのみを検索しました。
心配ない。 次のリリースの一部としてCHANGELOG(#85)に取り組んでいるので、将来的にはより明確になるはずです!
チェックインします。新しいリリースのETAはありますか?
@bollwyvl申し訳ありませんが、今月は忙しい/奇妙な月でした。 追いつくためだけに。 新しいリリースをカットするには、変更ログのPR作業をマージする必要がありますか?
私に知らせてください、そうすれば私たちはすぐにこれを出すことができます!
乾杯
そう思う! 変更ログを確認して、その甘くて甘い部族の知識の一部を脳から盗むことができれば...とにかくそれを再キックして、私たちがどのようにやっているかを確認します...
これを忘れないでください! ;)(Googleはエクスプロイトの詳細を公開しているので、GHがそれをシャットダウンすることはかなり優先度が高いと思います)
では、これを今すぐ閉じることができますか@ bollwyvl🙃?
私は警告なしで16930e6でテストしていたので、私たちは良いと思います!
痛い、バージョンは2にぶつかったので、 @v1
はこれを拾いません! 非公式のアクションにはdependabotと正確なバージョンを使用するように移行しています(すべてのプロジェクトが「vX」タグを維持しているわけではないため)が、まだどこにでもあるわけではありません。 追加された後方互換性のないものはありましたか? Changelogには、この変更された警告と明示的な環境の追加のみが一覧表示されます。
(苦情ではなく、質問だけです:)リリースしてくれてありがとう!)
痛い、バージョンは2にぶつかったので、
@v1
はこれを拾いません!
また、これをv1にバックポートできるかどうか(または、バック互換なのでv1でタグ付けできるかどうか)疑問に思っています。 このアクションは、多数のユーザーがCIスクリプトのクローンを作成し、頻繁に更新しないManubotで使用します。 https://github.com/manubot/rootstock/issues/388を参照して
v2がリリースされたばかりなので、conda-incubator / setup-miniconda @ v1が最新バージョンになってから動作が停止するまで、1週間かかり
set-envコマンドは非推奨になり、11月16日に無効になります。
Manubotの場合、関係のない問題のためにユーザーもアップグレードする必要があるため、これは必須ではありません。 しかし、他の人のためかもしれませんか?
@bollwyvlの考え?
最も参考になるコメント
これは#78の複製のようです。 #79で修正しました。まもなくリリースします!