Buenas prácticas en GitHub Actions para workflows eficientes

En un mundo donde la automatización es sinónimo de mayor eficiencia y productividad, GitHub Actions se ha revelado como un aliado de oro. Sin embargo, a medida que íbamos implementando GitHub Actions en un proyecto open source, surgió un conjunto de buenas prácticas que decidimos hacer explícitas para optimizar el flujo de trabajo en cualquier proyecto de desarrollo.

A continuación, se detalla una serie de recomendaciones transformadas del discurso a la escritura para maximizar tu rendimiento con GitHub Actions.

¿Por qué es recomendable usar workflows pequeños en GitHub Actions?

Usar workflows pequeños en GitHub Actions es una práctica sugerida. Estos permiten mayor modularización y facilitan la detección y corrección de errores en caso de fallos. La idea detrás de esta práctica es tener workflows definidos para cada proceso en lugar de tener un solo workflow que maneje todo el flujo.

¿Cuál es la importancia de usar timeouts en workflows GitHub Actions?

Los timeouts son parámetros que puedes establecer en los jobs de tus workflows. Estos son cruciales para evitar que un proceso corra indefinidamente debido a un error, lo que podría aumentar el tiempo de ejecución de los runners y, en consecuencia, incrementar los costos - en el caso de los repositorios privados, GitHub cobra por la cantidad de minutos que los runners están en funcionamiento.

¿Qué precauciones se deben tener al utilizar actions de terceros en GitHub Actions?

Con más de 17,000 actions disponibles en el Marketplace de GitHub, la tentación de utilizar actions de terceros puede ser grande. Pero ten en cuenta que al agregar actions de terceros a tus workflows es similar a agregar una nueva dependencia a tu proyecto.

Asegúrate de que las actions sean de un autor confiable, tengan actividad reciente en su repositorio y no presenten amenazas de seguridad para tu proyecto.

¿Por qué es importante especificar la versión de los actions en GitHub Actions?

Especificar la versión de los actions impide que tu trabajo dependa de actualizaciones imprevistas que podrían agregar errores a tu trabajo. Considéralo una forma de garantizar la estabilidad de tu proyecto. También puedes usar el SHA de GitHub, el hash que se genera para un commit específico cuando se requiere alta sensibilidad y fiabilidad en el trabajo.

¿Cómo puede limitarse los permisos del token en GitHub Actions para aumentar la seguridad?

Una de las claves para una buena seguridad en GitHub Actions es limitar los permisos del token. El token predeterminado que crea GitHub puede ser configurado para tener sólo permisos de lectura, agregando permisos de escritura sólo cuando sea absolutamente necesario. Esta es una forma eficaz de reducir vulnerabilidades y mantener a salvo tu proyecto en caso de un ataque a un repositorio de terceros.