workflow는 이벤트 조건과 job 의존성으로 배포 범위를 제한한다

PR은 검증에서 멈추고, main push만 이미지와 배포 job으로 넘어갑니다. 민감값은 필요한 job에서만 열립니다.

event

push / pull_request

ref, SHA, actor가 실행 범위를 결정합니다.

PR은 검증만
ci

install · test · build

needs의 기준이 되는 품질 관문입니다.

실패 시 전체 중단
image

Docker build / push

main에서만 SHA tag와 image digest를 만듭니다.

CI 통과 필요
deploy

environment 승인

운영 secrets와 보호 규칙을 이 단계에서만 엽니다.

image digest 입력
verify

health / monitor

배포 직후 오류율과 지연으로 rollback을 판단합니다.

운영 신호 확인
이벤트 실행 job 열 수 있는 값 막는 위험
Pull request검증 요청 checkout, install, lint, test 읽기 권한, test env 검증 전 배포와 secrets 노출
main push릴리스 후보 CI, image, deploy, verify registry token, prod secrets 검증 없는 운영 반영
tag버전 고정 image publish, release note package token 어떤 코드가 배포됐는지 불명확
Secrets boundary

DOCKERHUB_TOKEN, EC2_SSH_KEY, PROD_DB_PASSWORD는 PR job이 아니라 승인된 배포 job에서만 접근하게 해야 합니다.