C.W.K.
Stream
More →
Lesson 07 of 12 · published

Marketplace

~10 min · marketplace, actions, vetting

Level 0Apprentice
0 XP0/101 lessons0/10 achievements
0/120 XP to next level120 XP to go0% complete

수만 개 action, 품질 천차만별

GitHub Actions Marketplace 에 상상 가능한 모든 작업 (caching, deploy, upload, scan, Slack 게시, release note 생성) 용 수만 개 action 이 있어. 좋은 소식: 직접 짤 일 거의 없음. 나쁜 소식: 누구나 게시 가능, 그 코드를 아빠 runner 에서 아빠 secret 들고 돌려.

Action vetting 방법

  1. Source repo 활동 — 마지막 commit 최근? Issue 응답?
  2. Stars / users / 'used by' — 커뮤니티 신뢰의 강한 신호.
  3. Maintainer — 공식 org (actions/, docker/, aws-actions/, azure/) 가 가장 안전. 개인 계정은 더 검토.
  4. Verified creator 배지 — GitHub 의 가벼운 vetting.
  5. 어떤 권한 필요? GITHUB_TOKEN 요구? 소스 읽어.
  6. SHA pin. 항상. 신뢰하는 publisher 도.

반복해 쓸 카테고리

  • actions/checkout — repo clone (모든 workflow).
  • actions/setup-* — Python / Node / Java / Go 설치.
  • actions/cache — 범용 caching.
  • actions/upload-artifact + actions/download-artifact.
  • docker/login-action, docker/build-push-action.
  • aws-actions/configure-aws-credentials (OIDC).
  • peaceiris/actions-gh-pages — GitHub Pages deploy.

Code

Action 하나 audit — uses: ref 당 bash 한 줄·bash
# Look up where actions/checkout@v4 actually points right now
gh api repos/actions/checkout/git/refs/tags/v4 --jq .object.sha
# returns the current SHA the v4 tag points at

# Pin yourself by replacing v4 with that exact SHA
# After:  uses: actions/checkout@<that-sha>

External links

Exercise

현재 쓰는 third-party action 하나 골라 (actions/ org 가 아닌 거). Source repo 열어 action.yml 읽고, filesystem 에 뭐 하는지, 어떤 secret 만지는지 확인. 읽고 나서도 쓸지 결정.

Progress

Progress is local-only — sign in to sync across devices.
← PreviousActionNext →Workflow YAML 해부
이 페이지에서 버그를 발견하셨거나 피드백이 있으세요?문제 신고

댓글 0

🔔 답글 알림 (로그인 필요)
로그인댓글을 남기려면 로그인해 주세요.

아직 댓글이 없어요. 첫 댓글을 남겨보세요.