GitHub Script 进阶实战：从基础到优化的全栈指南

一、基础认知：破解 GitHub Actions 脚本开发的痛点

1.1 为什么内联脚本会拖慢你的开发效率？

当你的 GitHub Actions 工作流文件中开始出现超过 20 行的 JavaScript 代码时，维护噩梦就开始了。内联脚本无法进行单元测试、缺乏类型提示、代码复用困难，就像在生产环境中编写一次性代码。更糟糕的是，任何微小的修改都需要提交整个工作流文件，极大降低迭代速度。

模块化解决方案：将脚本逻辑迁移到独立文件中

- uses: actions/github-script@v7
  with:
    script: |
      // 只需一行引入，告别冗长内联代码
      const { handleIssue } = require('./src/issue-utils.js')
      await handleIssue({ github, context, core })

项目核心执行逻辑可参考 src/main.ts，该模块实现了脚本加载、错误处理和结果编码的完整流程。

1.2 如何解决 GitHub API 调用的"不确定性"？

网络波动、API 限流、临时服务不可用，这些因素都会导致 GitHub API 调用失败。直接执行 octokit.rest.issues.create() 就像在钢丝上行走，没有安全网。

重试机制原理：

┌─────────────┐     成功      ┌──────────────┐
│  执行 API   ├──────────────►│  返回结果    │
│  调用       │               │              │
└──────┬──────┘               └──────────────┘
       │
       │ 失败
       ▼
┌─────────────┐     达到最大次数     ┌──────────────┐
│ 检查重试条件 ├────────────────────►│  抛出错误    │
│ (状态码/次数)│                     │              │
└──────┬──────┘                     └──────────────┘
       │
       │ 可重试
       ▼
┌─────────────┐     延迟 (指数退避)  ┌──────────────┐
│ 计算重试间隔 ├────────────────────►│  重新执行    │
│             │                     │  API调用     │
└─────────────┘                     └──────┬───────┘
                                          │
                                          ▼

实现代码：

// @ts-check
/**
 * 带重试机制的 GitHub API 调用封装
 * @param {import('@octokit/rest').Octokit} octokit - 预认证的 Octokit 实例
 * @param {string} method - API 方法路径，如 'issues.create'
 * @param {object} params - API 参数
 * @param {number} [maxRetries=3] - 最大重试次数
 */
async function withRetry(octokit, method, params, maxRetries = 3) {
  const retryOptions = {
    retries: maxRetries,
    retryDelay: {
      initial: 1000,    // 初始延迟 1秒
      exponential: 2    // 指数退避系数
    },
    // 仅重试服务器错误和限流
    shouldRetry: (error) => 
      error.status >= 500 || error.status === 429
  };
  
  // 分解方法路径，如 'issues.create' → ['issues', 'create']
  const [service, operation] = method.split('.');
  
  // 执行带重试的 API 调用
  return octokit.rest[service][operation].withRetry(
    params, 
    retryOptions
  );
}

二、实战应用：构建企业级 GitHub 工作流

2.1 如何实现智能 issue 分类系统？

面对每天数十个新 issue，人工分类既耗时又容易出错。我们需要一个能够基于 issue 内容自动添加标签、分配负责人的智能系统。

完整实现：

// @ts-check
/**
 * 智能 issue 分类处理
 * @param {import('@types/github-script').AsyncFunctionArguments} args
 */
export default async function processIssue({ github, context, core }) {
  try {
    const { issue } = context.payload;
    
    // 1. 验证 issue 存在且有内容
    if (!issue || !issue.body) {
      core.warning("缺少 issue 内容，跳过处理");
      return;
    }
    
    // 2. 内容分析与标签匹配
    const labels = [];
    const body = issue.body.toLowerCase();
    
    // 根据关键词自动分类
    if (body.includes('bug') || body.includes('error') || body.includes('broken')) {
      labels.push('bug');
    }
    if (body.includes('feature') || body.includes('request') || body.includes('enhancement')) {
      labels.push('enhancement');
    }
    if (body.includes('question') || body.includes('help')) {
      labels.push('question');
    }
    
    // 3. 添加优先级标签（基于内容长度和关键词）
    if (body.length > 500 || body.includes('urgent') || body.includes('critical')) {
      labels.push('priority: high');
    }
    
    // 4. 执行标签添加
    if (labels.length > 0) {
      await github.rest.issues.addLabels({
        owner: context.repo.owner,
        repo: context.repo.repo,
        issue_number: issue.number,
        labels: labels
      });
      core.info(`已添加标签: ${labels.join(', ')}`);
    }
    
    // 5. 根据标签自动分配负责人
    const assignees = [];
    if (labels.includes('bug')) {
      assignees.push('bug-triage-team'); // 假设存在该团队
    }
    if (labels.includes('enhancement')) {
      assignees.push('feature-team');
    }
    
    if (assignees.length > 0) {
      await github.rest.issues.addAssignees({
        owner: context.repo.owner,
        repo: context.repo.repo,
        issue_number: issue.number,
        assignees: assignees
      });
      core.info(`已分配给: ${assignees.join(', ')}`);
    }
    
    return { success: true, labels, assignees };
    
  } catch (error) {
    core.error(`处理 issue 时出错: ${error.message}`);
    throw error; // 确保错误被 GitHub Actions 捕获并显示
  }
}

工作流配置：

name: 智能 Issue 分类
on:
  issues:
    types: [opened, edited]

jobs:
  classify-issue:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
      - uses: actions/github-script@v7
        with:
          retries: 2
          retry-exempt-status-codes: 400,404
          script: |
            const processIssue = require('./src/issue-processor.js')
            await processIssue({github, context, core})

执行效果：当新 issue 创建时，工作流将自动分析内容，添加如 bug、priority: high 等标签，并分配给相应团队成员，平均处理时间小于 5 秒。

2.2 如何安全地管理工作流中的敏感数据？

硬编码密钥和令牌是安全大忌，但环境变量的使用也需要遵循最佳实践。错误的配置可能导致敏感信息泄露或权限滥用。

安全配置实践：

name: 安全的工作流示例
on: [pull_request]

jobs:
  secure-operation:
    runs-on: ubuntu-latest
    environment: production  # 使用环境隔离敏感操作
    steps:
      - uses: actions/checkout@v4
      
      - name: 安全的脚本执行
        uses: actions/github-script@v7
        env:
          # 仅暴露必要的环境变量
          API_ENDPOINT: "https://api.example.com"
          # 敏感数据使用 GitHub Secrets
          API_TOKEN: ${{ secrets.SECRET_API_TOKEN }}
        with:
          # 限制脚本权限范围
          github-token: ${{ secrets.SCOPE_LIMITED_TOKEN }}
          script: |
            // 安全处理敏感数据
            const { API_ENDPOINT, API_TOKEN } = process.env;
            
            // 避免日志泄露敏感信息
            core.debug(`正在连接到: ${API_ENDPOINT}`); // 安全
            // core.debug(`使用令牌: ${API_TOKEN}`); // 危险！永远不要这样做
            
            // 最小权限原则：仅请求必要的 API 范围
            try {
              const response = await fetch(API_ENDPOINT, {
                headers: {
                  'Authorization': `Bearer ${API_TOKEN}`,
                  'Accept': 'application/json'
                }
              });
              
              if (!response.ok) {
                throw new Error(`API 请求失败: ${response.status}`);
              }
              
              const data = await response.json();
              core.setOutput('result', JSON.stringify(data));
            } catch (error) {
              core.setFailed(`操作失败: ${error.message}`);
            }

三、进阶优化：提升脚本质量与性能

3.1 脚本性能优化：从 5 秒到 500 毫秒的蜕变

当你的工作流开始处理大量数据或频繁 API 调用时，性能问题会变得突出。以下是三个立竿见影的优化技巧：

1. API 调用批量处理

// 低效方式：多次单独调用
for (const issue of issues) {
  await github.rest.issues.addLabels({
    owner: owner,
    repo: repo,
    issue_number: issue.number,
    labels: ['processed']
  });
}

// 优化方式：使用 GraphQL 批量操作
const query = `
  mutation AddLabelsToIssues($input: [AddLabelsToLabelableInput!]!) {
    ${input.map((item, index) => `
      addLabelsToIssue${index}: addLabelsToLabelable(
        input: $input[${index}]
      ) {
        labelable {
          id
        }
      }
    `).join('\n')}
  }
`;

const variables = {
  input: issues.map(issue => ({
    labelableId: issue.node_id,
    labelIds: [labelId]
  }))
};

await github.graphql(query, variables);

2. 缓存频繁访问的数据

const NodeCache = require('node-cache');
const cache = new NodeCache({ stdTTL: 300 }); // 5分钟缓存

async function getTeamMembers(teamSlug) {
  // 尝试从缓存获取
  const cacheKey = `team:${teamSlug}`;
  const cached = cache.get(cacheKey);
  
  if (cached) {
    core.debug(`从缓存获取团队 ${teamSlug} 成员`);
    return cached;
  }
  
  // 缓存未命中，调用 API
  core.debug(`从 API 获取团队 ${teamSlug} 成员`);
  const response = await github.rest.teams.listMembersInOrg({
    org: context.repo.owner,
    team_slug: teamSlug,
    per_page: 100
  });
  
  const members = response.data.map(m => m.login);
  
  // 存入缓存
  cache.set(cacheKey, members);
  
  return members;
}

3. 并行处理独立任务

// 串行处理（慢）
const results = [];
for (const file of files) {
  const result = await processFile(file);
  results.push(result);
}

// 并行处理（快）
const promises = files.map(file => processFile(file));
const results = await Promise.all(promises);

// 带并发控制的并行处理（更安全）
const pLimit = require('p-limit');
const limit = pLimit(5); // 限制并发数为5

const promises = files.map(file => limit(() => processFile(file)));
const results = await Promise.all(promises);

3.2 安全最佳实践：防御工作流攻击

GitHub Script 虽然强大，但如果配置不当，可能成为安全漏洞的入口。以下是需要重点关注的安全风险和防御措施：

1. 输入验证与 sanitization

/**
 * 安全处理用户输入
 * @param {string} input - 原始用户输入
 * @returns {string} 清理后的安全输入
 */
function sanitizeInput(input) {
  if (typeof input !== 'string') return '';
  
  // 移除潜在危险字符和模式
  return input
    .replace(/<script.*?>.*?<\/script>/gi, '')  // 移除脚本标签
    .replace(/javascript:/gi, 'javascript&#58;') // 转义 JS 伪协议
    .replace(/\${.*?}/g, '') // 移除模板字符串表达式
    .trim();
}

// 使用示例
const userInput = context.payload.comment.body;
const safeInput = sanitizeInput(userInput);
// 现在可以安全地使用 safeInput

2. 权限最小化原则

在 action.yml 中定义了完整的输入输出规范，包括权限控制。配置时应遵循最小权限原则：

# 工作流权限配置示例
permissions:
  contents: read          # 只读代码库内容
  issues: write           # 仅 issue 可写
  pull-requests: write    # 仅 PR 可写
  # 明确禁用不需要的权限
  repository-projects: none
  packages: none
  security-events: none

常见问题速查表

Q1: 如何调试 GitHub Script 脚本？
A1: 可以使用 core.debug() 输出调试信息，配合 GitHub Actions 的 ACTIONS_STEP_DEBUG 环境变量。在工作流中添加：

env:
  ACTIONS_STEP_DEBUG: true

然后在脚本中使用 core.debug('调试信息')，详细日志会显示在工作流执行详情中。

Q2: 脚本执行超时如何处理？
A2: 可以通过两种方式设置超时：

1. 工作流级别：在 job 中设置 timeout-minutes: 5
2. 脚本级别：使用 setTimeout() 包装异步操作

// 5秒超时示例
const timeoutPromise = new Promise((_, reject) => 
  setTimeout(() => reject(new Error('操作超时')), 5000)
);

await Promise.race([actualOperation(), timeoutPromise]);

Q3: 如何处理 GitHub API 速率限制？
A3: 除了内置重试机制外，可通过以下方式优化：

1. 使用 octokit.rest.rateLimit.get() 检查剩余配额
2. 实现请求队列和退避策略
3. 利用 GraphQL 减少请求数量
4. 在非工作时间执行大批量操作

Q4: 能否在脚本中使用第三方 npm 包？
A4: 可以通过两种方式：

1. 将依赖打包到工作流中（适合简单依赖）
2. 使用 require.resolve 加载工作流环境中的模块

// 加载工作流环境中的 npm 包
const { Octokit } = require('@octokit/rest');

Q5: 如何在不同仓库间共享脚本逻辑？
A5: 推荐三种方案：

1. 创建专用的脚本库，通过 actions/checkout 引入
2. 开发自定义 GitHub Action 封装常用逻辑
3. 使用 npm 包发布共享代码，在工作流中安装使用

- name: 安装共享脚本包
  run: npm install @your-org/action-utils
- uses: actions/github-script@v7
  with:
    script: |
      const { utils } = require('@your-org/action-utils')
      // 使用共享工具函数