push / pull_request
ref, SHA, actor가 실행 범위를 결정합니다.
PR은 검증만PR은 검증에서 멈추고, main push만 이미지와 배포 job으로 넘어갑니다. 민감값은 필요한 job에서만 열립니다.
ref, SHA, actor가 실행 범위를 결정합니다.
PR은 검증만needs의 기준이 되는 품질 관문입니다.
main에서만 SHA tag와 image digest를 만듭니다.
CI 통과 필요운영 secrets와 보호 규칙을 이 단계에서만 엽니다.
image digest 입력배포 직후 오류율과 지연으로 rollback을 판단합니다.
운영 신호 확인| 이벤트 | 실행 job | 열 수 있는 값 | 막는 위험 |
|---|---|---|---|
| Pull request검증 요청 | checkout, install, lint, test | 읽기 권한, test env | 검증 전 배포와 secrets 노출 |
| main push릴리스 후보 | CI, image, deploy, verify | registry token, prod secrets | 검증 없는 운영 반영 |
| tag버전 고정 | image publish, release note | package token | 어떤 코드가 배포됐는지 불명확 |
DOCKERHUB_TOKEN, EC2_SSH_KEY, PROD_DB_PASSWORD는 PR job이 아니라 승인된 배포 job에서만 접근하게 해야 합니다.