GitHub-APIs: Rezepte für den Entwickler-Alltag

GitHub-APIs:
Rezepte für den Entwickler-Alltag
Alexander Schwartz, Principal Software Engineer @ Red Hat
JavaLand | 2023-03-22

View Slide

CC BY-NC-SA 4.0 | März 2023 | GitHub APIs: Rezepte für den Entwickler-Alltag | Alexander Schwartz 3
GitHub-APIs: Rezepte für den Entwickler Alltag
Motivation
GitBot der auf
Kommentare reagiert
REST API
für Änderungen
Pull Requests
prüfen und
annotieren
Daten abfragen
per GraphQL
Website auf
GitHub Pages
publizieren
Build ausführen bei
neuen Commit
Eigene interaktive
UIs bauen
Dependencies aktualisieren
via Dependabot
Releases
erstellen

View Slide

Git ist eine Versionsverwaltung – und was ist GitHub?
Git:
Software zur dezentralen Versionsverwaltung von Quellcode.
Git-Repository:
Datenbank mit Quellcode zu einem konkreten Software-Projekt.
GitHub:
Amerikanisches Unternehmen, welches cloudbasierte Dienste und APIs rund um
Git-Repositories anbietet.

View Slide

Hello world: Website bauen, die Inhalte von aus zwei Repositories enthält
Website
Git 1
Build
Git 2
Standard
?

View Slide

Hello World: Einen Web Hook ausführen
name: Website
on:
push:
branches:
- main
paths:
- 'doc/**'
jobs:
triggerNetlify:
runs-on: ubuntu-latest
steps:
- name: Trigger Build
shell: bash
env:
NETLIFY_BUILD_TOKEN: ${{ secrets.NETLIFY_BUILD_TOKEN }}
run: >
curl -f -X POST -d {}
https://api.netlify.com/build_hooks/${NETLIFY_BUILD_TOKEN}
Repo: asciidoctor/asciidoctor-intellij-plugin

View Slide

GitHub Workflow
Cache
Den Code prüfen und Artefakte publizieren
Push
Checkout
Build
Publish
Artefact

View Slide

Den Code prüfen
• Build
• Cache
• Conditionals
• Secrets
# .github/workflows/build.yml
name: Java CI with Maven
on:
push:
jobs:
build:
steps:
- uses: actions/[email protected]
with:
distribution: 'temurin'
java-version: '11'
cache: 'maven'
- name: Build with Maven
run: |
./mvnw -B test
Repo: ahus1/dropwizard-keycloak-integration

View Slide

Den Code prüfen
• Build
• Cache
• Conditionals
• Secrets
# add to the steps:
- name: Cache Maven Wrapper
uses: actions/[email protected]
with:
path: .mvn/wrapper/maven-wrapper.jar
key: ${{ runner.os }}-maven-wrapper-
${{ hashFiles('**/maven-wrapper.properties') }}
restore-keys: |
${{ runner.os }}-maven-wrapper-

View Slide

Den Code prüfen
• Build
• Cache
• Conditionals
• Secrets
on:
push:
branches-ignore:
- 'dependabot/**'

View Slide

Artefakt publizieren
• Build
• Cache
• Conditionals
• Secrets
# add to the steps:
- name: publish
if: >
${{ success() && github.event_name != 'pull_request' &&
github.ref == 'refs/heads/master' }}
env:
SONATYPE_PASSWORD: ${{ secrets.SONATYPE_PASSWORD }}
SONATYPE_USERNAME: ${{ secrets.SONATYPE_USERNAME }}
run: |
mvn deploy --settings cisettings.xml -DskipTests=true -B

View Slide

GitHub Workflow
Cache
Den Code prüfen und Artefakte publizieren
Push
Checkout
Build
Publish
Artefact

View Slide

Draft Release anlegen
- name: Remove Old Release Drafts
env:
GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}
run: |
curl -H "Authorization: Bearer $GITHUB_TOKEN" ... | jq ... | curl ...
- name: Create Release Draft
id: createDraft
env:
GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}
with:
tag_name: ${{ needs.build.outputs.version }}
release_name: ${{ needs.build.outputs.version }}
body: ${{ needs.build.outputs.changelog }}
draft: true
prerelease: false

View Slide

Dependabot
Dependabot aktualisiert GitHub Actions in Workflows
Neues
Release
der GHA Pull
Request
📒 .github
└─📄 dependabot.yml

View Slide

Dependabot aktualisiert (auch) GitHub Actions in Workflows
version: 2
updates:
- package-ecosystem: "gradle"
directory: "/"
schedule:
interval: "daily"
- package-ecosystem: "github-actions"
directory: "/"
schedule:
interval: "daily"

View Slide

Workflow mit einer
Custom GitHub Action
Einen eigenen GitBot bauen
Event
(z. B. Kommentar)
Aktion via GitHub
REST API o. Ä.,
(z. B. Rerun Failed
Workflow Jobs)
Repo: keycloak/keycloak-gh-actionbot

View Slide

name: Keycloak GitHub bot
on:
issue_comment:
types:
- created
permissions:
actions: write
pull-requests: write
jobs:
act:
steps:
- uses: keycloak/[email protected]
with:
github_token: ${{ secrets.GITHUB_TOKEN }}
„uses“ enthält ein GitHub Repository:
Owner, Repository und Version

View Slide

19
CC BY-NC-SA 4.0 | März 2023 | GitHub APIs: Rezepte für den Entwickler-Alltag | Alexander Schwartz
# action.yml
name: Keycloak Bot
description: Bot reacting on comments
inputs:
github_token:
required: true
debug:
required: false
default: "false"
runs:
using: node16
main: dist/index.js
📒 keycloak-gh-actionbot
├─📄 action.yml
├─📄 index.js
├─📄 package.json
└─📂 dist
└─📄 index.js

View Slide

20
CC BY-NC-SA 4.0 | März 2023 | GitHub APIs: Rezepte für den Entwickler-Alltag | Alexander Schwartz
// index.js
import core from "@actions/core";
import { context } from "@actions/github";
import { Octokit } from "octokit";
async function run() {
const githubToken = core.getInput("github_token");
const octokit = new Octokit({ auth: githubToken });
if (context.eventName === "issue_comment") {
/* permission checks skipped until finally: */
await octokit.rest.actions.reRunWorkflowFailedJobs({
owner: context.payload.repository.owner.login,
repo: context.payload.repository.name,
run_id: job.run_id,
})
}
📒 keycloak-gh-actionbot
├─📄 action.yml
├─📄 index.js
├─📄 package.json
└─📂 dist
└─📄 index.js

View Slide

Sicherheit bei GitHub Actions
Berechtigungen:
Die Rechte können nur grob eingeschränkt werden.
Vertrauenswürdige Quellen:
Alle „action/…“ sind von GitHub, alle anderen von anderen Personen.
Versionierung:
Eine Version wie „@2“ zeigt auf einen Branch oder Tag, welcher vom Owner
jederzeit umgehängt werden kann. Auch SHA-1 (böswillige) Kollisionen sind
möglich.

View Slide

Workflow mit einer
GitHub Action die
CodeQL erzeugt
(z. B. JetBrains Qodana)
Code-Qualität prüfen mit CodeQL
Pull Request
mit Code
oder Docs
SARIF report mit
Upload,
Annotation im
Pull Request
HTML Report mit
Abweichungen

View Slide

// steps in my GitHub workflow
- name: 'Qodana for Docs'
uses: JetBrains/[email protected]
with:
args: >
--linter,jetbrains/qodana-jvm-community:2022.2,
-v,${{ github.workspace }}/grazie:/opt/idea/plugins/grazie,
-v,${{ github.workspace }}/asciidoctor-intellij...
--baseline,doc/qodana-baseline.sarif.json
- name: Upload SARIF report to GitHub
uses: github/codeql-action/[email protected]
with:
sarif_file: ${{ runner.temp }}/qodana/results/qodana.sarif.json

View Slide


View Slide

Terraform
GitHub Configuration-as-Code
GitHub REST API
terraform.tfstate
main.tf

View Slide

(statische)
Website bauen
Eine Website publizieren mit GitHub Pages (neuer Prozess)
Code-
Änderung
Website ist
live
Archiv hochladen
an die Workflow-
Instanz
GitHub Pages
publizieren
Repo: keycloak/keycloak-benchmark

View Slide

// add as job in workflow
build-and-publish-docs:
steps:
- name: Set up Node.js
with:
node-version: '16.x'
cache: 'yarn'
cache-dependency-path: 'antora/yarn.lock'
- name: Build docs
working-directory: antora
run: ./build.sh
- name: Upload artifact
with:
path: antora/_site/keycloak-benchmark

View Slide

// add as job in workflow
github-pages:
environment:
name: github-pages
url: ${{ steps.deployment.outputs.page_url }}
name: GitHub Pages
needs:
- build
permissions:
pages: write
id-token: write
steps:
- name: Deploy to GitHub Pages
id: deployment
Repo: keycloak/keycloak-benchmark

View Slide

Report erstellen
(gh, bash)
Dashboard mit GitHub CLI für Auswertungen erstellen
Cron Job
Website ist
live
Website Bauen
(Jekyll konvertiert
Markdown in HTML)
GitHub Pages
publizieren
Repo: stianst/keycloak-dashboard

View Slide

build-dashboard:
outputs:
build: ${{ steps.report.outputs.build }}
steps:
- id: report
env:
GH_TOKEN: ${{ secrets.GITHUB_TOKEN }}
run: |
bash report.sh > README.md
if ( ! git diff --exit-code &>/dev/null ); then
git config --global user.email ...
git config --global user.name ...
git commit -a -m "Updated dashboard"
git push
echo ::set-output name=build::"true"
fi
OLD

View Slide

build-dashboard:
outputs:
build: ${{ steps.report.outputs.build }}
steps:
- id: report
env:
GH_TOKEN: ${{ secrets.GITHUB_TOKEN }}
run: |
bash report.sh > README.md
if ( ! git diff --exit-code &>/dev/null ); then
git config --global user.email ...
git config --global user.name ...
git commit -a -m "Updated dashboard"
git push
echo "build=true" >> $GITHUB_OUTPUT
fi
NEW

View Slide

# report.sh
DATE_6_EXPIRED=`date -d "-6 month" +%Y-%m-%d`
# ...
PR_COUNT=`gh api -X GET search/issues -f q="repo:keycloak/keycloak is:pr is:open"
-f per_page=1 -q .total_count`
PR_EXPIRED_6_COUNT=`gh api -X GET search/issues -f q="repo:keycloak/keycloak is:pr
is:open created:<$DATE_6_EXPIRED" -f per_page=1 -q .total_count`
# ...
echo "|PRs| |"
echo "|---|-|"
echo "|[Open PRs](https://github.com/keycloak/keycloak/pulls)|$PR_COUNT|"
echo "|[Older than 6
months](https://github.com/keycloak/keycloak/pulls?q=is%3Apr+is%3Aopen+created%3A%
3C$DATE_6_EXPIRED)|$PR_EXPIRED_6_COUNT|"

View Slide

Quarkus Web App
Dynamische Web-App als Dashboard und persönlicher Client
GitHub GraphQL
GitHub REST API
GitHub Personal
Access Token

View Slide

Keycloak GitHub Action Bot
(GitHub Bot)
keycloak/keycloak-gh-actionbot
IntelliJ AsciiDoc Plugin
(Releases, Webhook, Qodana, CodeQL)
asciidoctor/asciidoctor-intellij-plugin
Keycloak Dropwizard
(Build, Sonatype Nexus)
ahus1/keycloak-dropwizard-integration
Keycloak Static Dashboard
(gh, bash, Markdown, Jekyll)
stianst/keycloak-dashboard
Beispiele
@ahus1de
Keycloak Interactive Dashboard
(Quarkus, GitHub GraphQL)
ahus1/keycloak-gitbot
Keycloak Benchmark
(Maven Build, Antora Static Documentation Site)
keycloak/keycloak-benchmark
GitHub REST API
https://docs.github.com/en/rest

View Slide

Kontakt
Alexander Schwartz
Principal Software Engineer
[email protected]
https://www.ahus1.de
@ahus1de

View Slide

GitHub-APIs: Rezepte für den Entwickler-Alltag

GitHub-APIs: Rezepte für den Entwickler-Alltag

Alexander Schwartz

More Decks by Alexander Schwartz

Other Decks in Programming

Featured

Transcript