Skip to content

Delete .github/workflows/call-synchronize-to-dtk6.yml #321

New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom
Merged
zccrs merged 1 commit into from
Jan 20, 2026
Merged

Delete .github/workflows/call-synchronize-to-dtk6.yml #321

zccrs merged 1 commit into from
Jan 20, 2026

Conversation

@asterwyx
Copy link
Contributor

@asterwyx asterwyx commented Jan 20, 2026

No description provided.

@deepin-ci-robot
Copy link
Contributor

deepin-ci-robot commented Jan 20, 2026

[APPROVALNOTIFIER] This PR is NOT APPROVED

This pull-request has been approved by: asterwyx

The full list of commands accepted by this bot can be found here.

Details Needs approval from an approver in each of these files:

Approvers can indicate their approval by writing /approve in a comment
Approvers can cancel approval by writing /approve cancel in a comment

@asterwyx
chore: delete workflow call-synchronize-to-dtk6
b636dc0 
Synchronizing is no more needed.
@deepin-ci-robot
Copy link
Contributor

deepin-ci-robot commented Jan 20, 2026

deepin pr auto review

经过对这段 GitHub Actions 工作流配置文件的删除操作(git diff 显示该文件被删除)的审查,我将从语法逻辑、代码质量、代码性能和代码安全四个方面提供详细的分析和改进意见。

1. 审查总结

该操作删除了一个名为 call-synchronize-to-dtk6.yml 的工作流文件。该文件的主要功能是:当触发 pull_request_target 事件时,调用远程仓库 linuxdeepin/dtk 中的 synchronize-to-dtk6.yml 工作流,目的是将当前 PR 的代码同步到 linuxdeepin/qt6platform-plugins 仓库。

2. 详细审查意见

A. 代码安全(高风险 - 核心问题)

这是该工作流最值得关注的领域,也是删除该文件可能是一个正确的安全决策的原因。

  1. pull_request_target 的权限风险

    • 问题:该文件使用了 pull_request_target 事件。这个事件的关键特性是它以目标仓库(基础仓库)的权限运行,而不是 PR 提交者的权限。这意味着如果该工作流被触发,它拥有写入 linuxdeepin/qt6platform-plugins 仓库的权限。
    • 风险点:虽然代码中使用了 uses: ... @master 调用了外部仓库的工作流,但传递的参数 source_reposource_ref 来自于 PR 的上下文 (github.event.pull_request.head...)。如果被调用的远程工作流 (synchronize-to-dtk6.yml) 没有极其严格的校验逻辑(例如检出代码前不信任来源),攻击者可以构造一个恶意的 PR,利用这个高权限的工作流向目标仓库注入恶意代码。
    • 改进建议删除该文件是解决此特定安全风险的最直接方法。如果必须保留同步功能,建议:
      • 改用 pull_request 事件,但这会失去对来自 Fork 的 PR 的写入权限(通常这正是需要的)。
      • 如果必须用 pull_request_target,必须确保被调用的 synchronize-to-dtk6.yml 工作流在检出代码时,严格校验 source_repo,并且绝不能直接运行 PR 中的脚本,只能读取文件内容或进行特定的、受控的 API 操作。

  2. 硬编码的目标仓库

    • 问题dest_repo: linuxdeepin/qt6platform-plugins 被硬编码在文件中。
    • 风险:这限制了灵活性,且如果该工作流被误用在其他仓库中,可能会错误地将代码推送到 qt6platform-plugins
    • 改进建议:如果保留,应检查该目标仓库是否确实是预期的同步目标。

B. 语法逻辑

  1. 语法正确性
    • YAML 语法结构是正确的。on, jobs, uses, secrets, with 等关键字的使用符合 GitHub Actions 规范。
  2. 触发逻辑
    • paths-ignore 配置合理,排除了打包相关的目录(debian, rpm 等)和 GitHub 配置目录,避免这些文件的变更触发不必要的同步流程。

C. 代码质量

  1. 可维护性
    • 问题:工作流逻辑被委托给了外部仓库 (linuxdeepin/dtk)。这减少了本仓库的维护负担,但也增加了依赖性。
    • 改进建议:如果删除此文件是因为不再依赖 dtk 仓库或不再需要同步到 qt6platform-plugins,那么删除是合理的。如果是为了去中心化,建议将同步逻辑直接写在本仓库中,但这会增加维护成本。

D. 代码性能

  1. 资源消耗
    • 由于这是一个可复用工作流调用 (uses),它本身不消耗本仓库的计算资源(运行在 dtk 仓库或目标仓库的 Runner 上),因此对本仓库的性能无直接影响。
    • paths-ignore 的使用有助于避免不必要的触发,这在性能上是正面的优化。

3. 结论与建议

结论
删除 call-synchronize-to-dtk6.yml 文件是一个积极的变更,主要原因是消除了由 pull_request_target 结合外部仓库调用带来的潜在安全风险。该工作流设计允许通过 PR 上下文参数影响高权限的同步操作,存在供应链攻击的隐患。

建议

  1. 确认删除原因:请团队确认删除该文件是否意味着不再需要将代码同步到 linuxdeepin/qt6platform-plugins。如果仍需同步,应寻找更安全的替代方案(例如通过受保护的 API 或更严格的 CI 校验)。
  2. 审计其他工作流:检查仓库中是否还有其他使用 pull_request_target 的工作流,确保它们没有类似的安全隐患。
  3. 文档更新:如果该同步流程是开发者已知的特性,删除后应更新相关文档,通知开发者同步流程已变更或取消。

综上所述,同意删除该文件,这有助于提升项目的安全性。

@zccrs
Copy link
Member

zccrs commented Jan 20, 2026

同步到gitee的这个失败了不影响这个提交,这个改动是github action的变化,本次未同步过去不要紧,直接合入了。

@zccrs zccrs merged commit 6183e1c into master Jan 20, 2026
12 of 14 checks passed
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Reviewers

No reviews

Assignees

No one assigned

Labels

None yet

Projects

None yet

Milestone

No milestone

Development

Successfully merging this pull request may close these issues.

4 participants

@asterwyx @deepin-ci-robot @zccrs