Setup-miniconda: Suspensão de uso do GHA: "add-path" e "set-env"

Criado em 8 out. 2020 · 12Comentários · Fonte: conda-incubator/setup-miniconda

O GitHub Actions está descontinuando set-env e add-path devido a um risco de segurança: https://github.blog/changelog/2020-10-01-github-actions-deprecating-set-env-and -add-path-comandos /

Atualmente, a ação `setup-miniconda 'tem estas linhas:

$ grep setup-miniconda/ -nre "set-env"
setup-miniconda//dist/delete/index.js:577: *   ::set-env name=MY_VAR::some value
setup-miniconda//dist/delete/index.js:700:        command_1.issueCommand('set-env', { name }, convertedVal);
setup-miniconda//dist/setup/index.js:17524: *   ::set-env name=MY_VAR::some value
setup-miniconda//dist/setup/index.js:20008:        command_1.issueCommand('set-env', { name }, convertedVal);
$ grep setup-miniconda/ -nre "add-path"
setup-miniconda//dist/delete/index.js:722:        command_1.issueCommand('add-path', {}, inputPath);
setup-miniconda//dist/setup/index.js:20030:        command_1.issueCommand('add-path', {}, inputPath);

O que causa este aviso ao usá-lo em um fluxo de trabalho GHA:

The `add-path` command is deprecated and will be disabled soon. Please upgrade to using Environment Files. For more information see: https://github.blog/changelog/2020-10-01-github-actions-deprecating-set-env-and-add-path-commands/
The `set-env` command is deprecated and will be disabled soon. Please upgrade to using Environment Files. For more information see: https://github.blog/changelog/2020-10-01-github-actions-deprecating-set-env-and-add-path-commands/

Fonte

mrmundt

Comentários muito úteis

Parece que esta é uma duplicata de # 78. # 79 corrigiu isso, estaremos lançando um lançamento em breve!

bollwyvl em 8 out. 2020

👍3

Todos 12 comentários

Parece que esta é uma duplicata de # 78. # 79 corrigiu isso, estaremos lançando um lançamento em breve!

bollwyvl em 8 out. 2020

👍3

Excelente! Desculpe, eu apenas pesquisei PRs abertos antes de enviar isto.

mrmundt em 8 out. 2020

Sem problemas. Estamos trabalhando em um CHANGELOG (# 85) como parte do próximo lançamento, então deve ficar mais claro no futuro!

bollwyvl em 8 out. 2020

Verificando. Você tem um HEC para o novo lançamento?

mrmundt em 3 nov. 2020

@bollwyvl desculpe, este tem sido um mês agitado / estranho. Só para se atualizar. Precisamos apenas mesclar o trabalho de RP do changelog para cortar um novo lançamento?

Deixe-me saber, para que possamos resolver isso em breve!

Saúde

goanpeca em 4 nov. 2020

acho que sim! Se você puder revisar o changelog para que possamos roubar um pouco daquele doce, doce conhecimento tribal de seu cérebro ... vou chutá-lo de qualquer maneira, só para ver como estamos indo ...

bollwyvl em 4 nov. 2020

🎉1

Não se esqueça disso! ;) (O Google divulgou os detalhes do exploit, então é de alta prioridade para o GH desligá-lo, eu acredito)

henryiii em 7 nov. 2020

Podemos fechar isso agora @bollwyvl 🙃?

goanpeca em 9 nov. 2020

🎉1 👍1

Eu estava testando com 16930e6 sem avisos, então eu diria que estamos bem!

bollwyvl em 9 nov. 2020

Ai, a versão saltou para 2, então @v1 não vai pegar isso! Estou passando a usar dependabot e versões exatas para ações não oficiais (uma vez que nem todos os projetos mantêm a tag "vX" ativa), mas não em todos os lugares ainda. Foi adicionado algo incompatível com versões anteriores? O registro de alterações lista apenas este aviso alterado e a adição de envs explícitos.

(Não é uma reclamação, apenas uma pergunta :) Obrigado pelo lançamento!)

henryiii em 9 nov. 2020

👍1

Ai, a versão saltou para 2, então @v1 não vai pegar isso!

Também estou me perguntando se isso poderia ser portado de volta para v1 (ou apenas marcado com v1 desde sua compatibilidade de volta). Usamos essa ação no Manubot, onde um grande número de usuários clonou nosso script de CI e não atualiza com tanta frequência. Consulte https://github.com/manubot/rootstock/issues/388.

A v2 acabou de ser lançada, então haverá uma semana de quando conda-incubator / setup-miniconda @ v1 era a versão mais recente até quando ela parar de funcionar:

O comando set-env está obsoleto e será desativado em 16 de novembro.

No caso do Manubot, os usuários também precisam fazer a atualização devido a um problema não relacionado, portanto, não é essencial para nós. Mas pode ser para outros?