fix: auto-tag workflow error

[hudeng-go]

No description provided.

[deepin-ci-robot]

deepin pr auto review

这份 GitHub Actions 工作流的主要目的是在 PR 合并后自动创建 Git Tag，并在 PR 上添加评论。以下是对该 diff 的详细审查，包括语法逻辑、代码质量、代码性能和代码安全方面的分析。

1. 语法逻辑

• 移除未使用的 Secret:

  • 改动: 删除了 TRANSIFEX_API_TOKEN 的输入和 env 定义。
  • 评价: ✅ 逻辑正确。如果工作流不再需要 Transifex 相关的功能，移除未使用的密钥是正确的做法，减少了配置负担和潜在的安全风险。

• Tag 创建的 SHA 引用变更:

  • 改动: 将 object: context.sha 修改为 object: mergeCommitSha，其中 mergeCommitSha 定义为 context.payload.pull_request.head.sha。
  • 评价: ⚠️ 存在潜在逻辑风险。
    • context.payload.pull_request.head.sha 指向的是 PR 分支头部的提交 SHA。
    • 在 PR 被 Merge 的情况下，GitHub 会创建一个新的 Merge Commit。通常，我们希望 Tag 指向这个 Merge Commit，或者指向 PR 分支的最新提交。
    • 风险: 如果 PR 是通过 Squash and Merge（合并提交）合并的，context.payload.pull_request.head.sha 依然是指向合并前的那个提交。虽然 Tag 指向它也能找到代码，但与仓库历史中的合并节点不一致，可能导致版本追踪混淆。
    • 建议: 如果希望 Tag 指向合并后的提交（Merge Commit），应使用 context.sha（在 pull_request 事件的 closed 状态下，通常指向合并后的提交 SHA）。或者，如果确实想指向 PR 的源提交，请确保这是团队的预期行为。鉴于原代码使用 context.sha，改回它或明确注释为何使用 head.sha 会更稳妥。

• 错误处理:

  • 改动: 为 createTag API 调用添加了 try-catch 块。
  • 评价: ✅ 逻辑正确。捕获 API 错误并使用 core.setFailed 终止工作流是良好的实践，防止后续步骤（如 createRef）在 Tag 不存在的情况下继续执行导致报错。

2. 代码质量

• 变量声明:

  • 改动: 将 const { data } 改为 let data，并在 try 块内赋值。
  • 评价: ✅ 质量良好。为了在 try 块外部访问 data，将其提升作用域是必要的。

• 代码可读性与维护性:

  • 改动: 添加了在 PR 上创建评论的逻辑 (tag_body)。
  • 评价: ⚠️ 可读性一般。使用字符串拼接构建 Markdown 格式的评论虽然可行，但容易出错且难以阅读。
  • 建议: 使用 JavaScript 的模板字符串（Template Literals，即反引号 `）来构建多行字符串，这样代码更清晰，且不需要手动处理换行符。

• 硬编码:

  • 评价: 代码中存在一些硬编码，如 BOT_NAME = "TAG Bot"。建议将其定义为 Workflow 顶层的 env 变量，方便统一修改。

3. 代码性能

• API 调用:
  • 改动: 新增了 github.rest.issues.createComment 调用。
  • 评价: ✅ 性能影响可忽略。虽然增加了一次 API 请求，但这是为了提供必要的反馈，属于功能性需求。GitHub Actions 的运行时间通常不会因此受到显著影响。

4. 代码安全

• 敏感信息泄露:

  • 评价: ✅ 安全。评论内容中包含的是 SHA、Tag 名称等公开信息，未涉及 Secret 泄露风险。

• 权限控制:

  • 评价: ⚠️ 需关注。虽然 Diff 中未显示 permissions 部分，但为了执行 createTag、createRef 和 createComment，GitHub App 或 PAT (Personal Access Token) 必须拥有 contents:write 和 issues: write 权限。请确保 Workflow 文件顶部的 permissions 配置正确，遵循最小权限原则。

改进建议

1. 修正 Tag 指向的 SHA:
   建议确认是否需要指向 Merge Commit。如果是，建议将 mergeCommitSha 改回 context.sha。

2. 优化字符串拼接:
   使用模板字符串重构 tag_body 的构建逻辑。

   const tag_body = `**TAG Bot**
   
   ✅ **Tag created successfully**
   
   <details>
   <summary>📋 Tag Details</summary>
   
   - **Tag Name**: \`${data.tag}\`
   - **Tag SHA**: \`${data.sha}\`
   - **Commit SHA**: \`${mergeCommitSha}\`
   - **Tag Message**:
     \`\`\`
     ${data.message}
     \`\`\`
   - **Tagger**:
     - Name: ${data.tagger.name}
   - **Distribution**: ${distribution}
   </details>`;

3. 常量提取:
   将 BOT_NAME 移至 env 或 Workflow 级别的常量。

4. 注释说明:
   对于 mergeCommitSha 的获取逻辑添加注释，说明为何选择 head.sha 而不是 merge_commit_sha 或 context.sha，以减少后续维护者的困惑。

总结

这段代码主要增强了错误处理和用户反馈（评论功能），逻辑上是合理的。主要的改进点在于：

1. Tag SHA 的引用逻辑需要根据团队的合并策略（Merge Commit vs Squash Merge）进行确认。
2. 字符串构建方式可以通过使用模板字符串来提升代码质量。

[deepin-ci-robot]

[APPROVALNOTIFIER] This PR is NOT APPROVED

This pull-request has been approved by: BLumia, hudeng-go

The full list of commands accepted by this bot can be found here.

Details

Needs approval from an approver in each of these files:

• debian/deepin/OWNERS

Approvers can indicate their approval by writing /approve in a comment
Approvers can cancel approval by writing /approve cancel in a comment