Danger.js 在 GitHub Actions 中关于 pull_request_target 事件的误报问题解析

问题背景

Danger.js 是一个流行的自动化代码审查工具，常用于 GitHub 仓库中执行 PR 检查。在 GitHub Actions 工作流中，用户可以选择使用 pull_request 或 pull_request_target 事件来触发 Danger.js 的运行。这两种事件虽然相似，但在安全模型上有重要区别。

问题现象

当用户在 GitHub Actions 工作流中配置使用 pull_request_target 事件时，Danger.js 会持续输出一条警告信息："Note: Running Danger on with generalised GitHub Actions support, this does not include danger.github.pr..."。这条信息提示用户如果期望获取 PR 相关信息，应该将工作流改为 pull_request 事件。

然而实际上，pull_request_target 事件同样可以提供完整的 PR 信息（包括 danger.github.pr），这条警告信息在这种情况下是不准确且多余的。

技术分析

这个问题的根源在于 Danger.js 的 GitHub Actions 集成代码中，对事件类型的判断逻辑不够完善。代码中只明确检查了 pull_request 事件，而没有正确处理 pull_request_target 事件的情况。

pull_request_target 是 GitHub 提供的一个特殊事件类型，它与 pull_request 的主要区别在于：

1. 它运行在基础分支的上下文中，而不是 PR 分支
2. 它拥有基础分支的写权限
3. 它更安全，因为不会执行来自 PR 分支的不可信代码

尽管有这些区别，pull_request_target 事件仍然会提供完整的 PR 数据，完全可以支持 Danger.js 需要的所有功能。

解决方案

修复方案相对简单：在判断事件类型时，除了检查 pull_request 外，还应检查 pull_request_target 事件。当检测到这两种事件中的任意一种时，都不应该显示那条误导性的警告信息。

这个修复确保了 Danger.js 在各种合理的 GitHub Actions 工作流配置下都能正确工作，同时避免了给用户带来困惑。

影响范围

这个问题主要影响：

1. 使用 pull_request_target 事件触发 Danger.js 检查的用户
2. 关注 CI 输出日志的用户体验
3. 对 GitHub Actions 事件类型不太熟悉的新用户

虽然这个问题不会导致功能失效，但多余的警告信息可能会误导用户修改他们正确的工作流配置。

最佳实践建议

对于 Danger.js 在 GitHub Actions 中的使用，建议：

1. 优先考虑使用 pull_request_target 事件，因为它提供更好的安全性
2. 确保工作流配置正确，能够获取到所需的 PR 信息
3. 定期更新 Danger.js 版本以获取最新的修复和改进

通过这次修复，Danger.js 对 GitHub Actions 的支持变得更加完善和准确，能够更好地服务于各种代码审查场景。