[발전 방안 제안(Improvement Plan)]: Github Action을 적용해서 자동으로 빌드, 테스트 수행 워크플로 적용 #199
Description
Idea name : Github Action을 적용해서 자동으로 빌드, 테스트 수행 워크플로 적용
Suggestion Background
오픈소스 프로젝트의 경우 Github 리포지토리의 소스에 대한 실시간 빌드를 적용해서
정상 빌드 여부를 사용자에 제공하는 것이 일반적이고 사용하고 있는
다양한 라이브러리의 취약점을 위해 SNAPSHOT 버전을 제공하고 Security bot을 적용해서
사용하는 라이브러리에 대한 보안 취약점을 확인하고 실시간으로 SNAPSHOT에 반영해서
사용자에게 정보를 제공하는 것을 제안합니다.
[ security bot ]
GitHub의 '보안 봇(security bot)'은 GitHub에서 제공하는 내장된 보안 기능들을 의미하며, 이 기능들은 코드 스캔, 시크릿 스캔, Dependabot을 통한 종속성 관리 등을 통해 코드의 취약점, 유출된 시크릿, 그리고 오래된 종속성 문제를 자동으로 탐지하고 보호합니다.
[스프링 부트 적용 예제]
- Sprin Boot : https://github.com/spring-projects/spring-boot
-> 'Build and Deploy Snapshot' 클릭 시 GitHub Action의 Build Staus 정보 제공
참고
[English]
Idea name: Apply GitHub Actions to automate build & test workflows
Suggestion Background
For open-source projects, it is common practice to run real-time builds on the repository so users can immediately see whether the project builds successfully. I propose we adopt GitHub Actions to automate builds and tests, and to publish SNAPSHOT (or CI) artifacts so users can access the latest changes.
To improve supply-chain security and faster visibility of vulnerabilities in third-party libraries we use, I also suggest enabling automated security checks (e.g., Dependabot) and integrating a security workflow that:
- Runs automated builds and tests on every push and pull request, showing real-time build status in the README and PR checks;
- Publishes SNAPSHOT/CI builds so users can test the latest fixes before a formal release;
- Uses automated dependency monitoring and remediation (Dependabot) to detect outdated or vulnerable dependencies and open PRs to update them;
- Automatically triggers security scans and, where appropriate, reflects fixes into SNAPSHOT builds so users can access patched versions quickly.
These measures will increase transparency for users, reduce risk from vulnerable dependencies, and speed up the feedback loop between detection and remediation.
Security bot
The GitHub “security bot” refers to GitHub’s built-in security features such as code scanning, secret scanning, and Dependabot. These tools automatically detect vulnerabilities in code, leaked secrets, and outdated or insecure dependencies, and help protect the project by surfacing issues and creating remediation PRs. Integrating these features into our CI/CD pipeline will help us identify and address security issues more quickly.