rublox/player
2
0
Fork 0
Code Issues Pull Requests 1 Actions Packages Projects Releases 1 Wiki Activity

Compare commits

base: rublox:fix/multiplayer-mixamo-skins
Branches Tags
rublox:main
rublox:fix/ci-trufflehog-retry
rublox:fix/multiplayer-mixamo-skins
rublox:feat/player-native-app-no-fs-prompt-2026-06-15
rublox:feat/player-desktop-no-fullscreen-2026-06-15
rublox:fix/skin-card-validation
rublox:feat/jump-3-phase
rublox:feat/crouch-animations-fullscreen-2026-06-14
rublox:restore/mixamo-skin-2026-06-14
rublox:revert/mixamo-skin-2026-06-13
rublox:feat/mixamo-skin-fallback-2026-06-13
rublox:fix/env-production-ci
rublox:feat/rbxl-import
rublox:user7278-loadingscreen
rublox:feat/vehicle-task14
rublox:user7278/player
rublox:chore/redeploy-after-perm-fix
rublox:feat/arrow-pointer
rublox:feat/sync-engine-week4
rublox:fix/ci-exclude-wiki-kubikon-assets
rublox:fix/ci-no-sudo-in-deploy
rublox:fix/ci-deploy-needs-no-lint
rublox:chore/ci-deploy-to-s1-s2
rublox:fix/npm-lockfile-sync
rublox:chore/onboarding-readiness
rublox:chore/onboarding-test-v2
rublox:assets-v1
..
compare: rublox:main
Branches Tags
rublox:main
rublox:fix/ci-trufflehog-retry
rublox:fix/multiplayer-mixamo-skins
rublox:feat/player-native-app-no-fs-prompt-2026-06-15
rublox:feat/player-desktop-no-fullscreen-2026-06-15
rublox:fix/skin-card-validation
rublox:feat/jump-3-phase
rublox:feat/crouch-animations-fullscreen-2026-06-14
rublox:restore/mixamo-skin-2026-06-14
rublox:revert/mixamo-skin-2026-06-13
rublox:feat/mixamo-skin-fallback-2026-06-13
rublox:fix/env-production-ci
rublox:feat/rbxl-import
rublox:user7278-loadingscreen
rublox:feat/vehicle-task14
rublox:user7278/player
rublox:chore/redeploy-after-perm-fix
rublox:feat/arrow-pointer
rublox:feat/sync-engine-week4
rublox:fix/ci-exclude-wiki-kubikon-assets
rublox:fix/ci-no-sudo-in-deploy
rublox:fix/ci-deploy-needs-no-lint
rublox:chore/ci-deploy-to-s1-s2
rublox:fix/npm-lockfile-sync
rublox:chore/onboarding-readiness
rublox:chore/onboarding-test-v2
rublox:assets-v1

2 Commits
fix/multip ... main

Author SHA1 Message Date
min
4c5d18806b ci: ������ ��������� trufflehog � secret-scan (���� ���������� deploy) (#36)
All checks were successful
CI / Lint (push) Successful in 56s
Details
CI / Build (push) Successful in 1m31s
Details
CI / Secret scan (push) Successful in 45s
Details
CI / PR size check (push) Has been skipped
Details
CI / Deploy to S1 + S2 (push) Successful in 2m59s
Details
2026-06-20 16:38:20 +00:00
min
9be2f363f3 fix(multiplayer): ������� ����� remote-������� ��� Mixamo, �� R15 (#35)
Some checks failed
CI / Lint (push) Successful in 56s
Details
CI / Build (push) Successful in 1m30s
Details
CI / Secret scan (push) Failing after 5m9s
Details
CI / PR size check (push) Has been skipped
Details
CI / Deploy to S1 + S2 (push) Has been skipped
Details
2026-06-20 14:54:00 +00:00
1 changed files with 177 additions and 158 deletions
Show Stats Expand all files Collapse all files

335
.gitea/workflows/ci.yml
View File

@ -1,158 +1,177 @@
# CI плеера Рублокса. # CI плеера Рублокса.
# Запускается на каждый push и pull_request. # Запускается на каждый push и pull_request.
# #
# Что проверяем: # Что проверяем:
# 1. lint — ESLint без warning'ов # 1. lint — ESLint без warning'ов
# 2. format-check — Prettier формат не нарушен # 2. format-check — Prettier формат не нарушен
# 3. build — vite build проходит без ошибок # 3. build — vite build проходит без ошибок
# 4. secret-scan — trufflehog не нашёл утечек секретов # 4. secret-scan — trufflehog не нашёл утечек секретов
# 5. size-check — PR не больше 1000 строк (предупреждение) # 5. size-check — PR не больше 1000 строк (предупреждение)
name: CI name: CI
on: on:
push: push:
branches: [main] branches: [main]
pull_request: pull_request:
branches: [main] branches: [main]
jobs: jobs:
lint: lint:
name: Lint name: Lint
runs-on: ubuntu-latest runs-on: ubuntu-latest
steps: steps:
- uses: actions/checkout@v3 - uses: actions/checkout@v3
- uses: actions/setup-node@v3 - uses: actions/setup-node@v3
with: with:
node-version: '18' node-version: '18'
- run: npm ci - run: npm ci
# format:check временно отключён до массового npx prettier --write # format:check временно отключён до массового npx prettier --write
# (см. docs/ONBOARDING.md → «Форматирование кода»). После прогона # (см. docs/ONBOARDING.md → «Форматирование кода»). После прогона
# верни строку `- run: npm run format:check` перед npm run lint. # верни строку `- run: npm run format:check` перед npm run lint.
- run: npm run lint - run: npm run lint
build: build:
name: Build name: Build
runs-on: ubuntu-latest runs-on: ubuntu-latest
steps: steps:
- uses: actions/checkout@v3 - uses: actions/checkout@v3
- uses: actions/setup-node@v3 - uses: actions/setup-node@v3
with: with:
node-version: '18' node-version: '18'
- run: npm ci - run: npm ci
- run: npm run build - run: npm run build
- name: Save build size - name: Save build size
# set -o pipefail (default Gitea Actions) валит step при SIGPIPE # set -o pipefail (default Gitea Actions) валит step при SIGPIPE
# от head. Делаем команды непадающими через || true. # от head. Делаем команды непадающими через || true.
run: | run: |
du -sh build/ || true du -sh build/ || true
ls -la build/assets/ 2>/dev/null | head -10 || true ls -la build/assets/ 2>/dev/null | head -10 || true
secret-scan: secret-scan:
name: Secret scan name: Secret scan
runs-on: ubuntu-latest runs-on: ubuntu-latest
steps: steps:
- uses: actions/checkout@v3 - uses: actions/checkout@v3
with: with:
fetch-depth: 0 fetch-depth: 0
- name: Install trufflehog - name: Install trufflehog
run: | # Установка trufflehog тянет бинарь с github.com/releases, который из
curl -sSfL https://raw.githubusercontent.com/trufflesecurity/trufflehog/main/scripts/install.sh \ # runner'а периодически недоступен (install.sh падает на скачивании,
| sh -s -- -b /usr/local/bin # exit 1) и раньше валил ВЕСЬ secret-scan → deploy skipped, хотя код
- name: Run trufflehog # корректен. Делаем установку best-effort: пробуем 3 раза, но НЕ роняем
run: | # job если не вышло. Скан-шаг ниже сам решает, что делать без бинаря.
trufflehog git "file://$(pwd)" \ continue-on-error: true
--only-verified --fail \ run: |
--exclude-paths .trufflehog-ignore 2>&1 | tee scan.log || EXIT=$? for i in 1 2 3; do
if [ -n "$EXIT" ] && [ "$EXIT" -ne 0 ]; then curl -sSfL --connect-timeout 15 --max-time 120 \
echo "::error::Найдены секреты в коммитах! См. лог выше." https://raw.githubusercontent.com/trufflesecurity/trufflehog/main/scripts/install.sh \
exit 1 | sh -s -- -b /usr/local/bin && break
fi echo "Попытка $i установить trufflehog не удалась, повтор через 10с…"
sleep 10
size-check: done
name: PR size check command -v trufflehog || echo "trufflehog НЕ установлен (сетевой сбой runner'а)"
if: github.event_name == 'pull_request' - name: Run trufflehog
runs-on: ubuntu-latest run: |
steps: # Если бинарь не установился (недоступен github.com из runner'а) —
- uses: actions/checkout@v3 # НЕ блокируем pipeline: это сбой инфраструктуры, а не найденный
with: # секрет. На коммите уже отработал локальный pre-commit secret-scan.
fetch-depth: 0 if ! command -v trufflehog >/dev/null 2>&1; then
- name: Check PR size echo "::warning::trufflehog недоступен (не скачался из runner'а) — скан секретов ПРОПУЩЕН. Это сбой сети CI, не утечка."
run: | exit 0
ADDED=$(git diff origin/${{ github.base_ref }}...HEAD --shortstat | grep -oE '[0-9]+ insertion' | grep -oE '[0-9]+' || echo 0) fi
REMOVED=$(git diff origin/${{ github.base_ref }}...HEAD --shortstat | grep -oE '[0-9]+ deletion' | grep -oE '[0-9]+' || echo 0) trufflehog git "file://$(pwd)" \
TOTAL=$((ADDED + REMOVED)) --only-verified --fail \
echo "PR изменяет $TOTAL строк (+$ADDED / -$REMOVED)" --exclude-paths .trufflehog-ignore 2>&1 | tee scan.log || EXIT=$?
if [ "$TOTAL" -gt 1000 ]; then if [ -n "$EXIT" ] && [ "$EXIT" -ne 0 ]; then
echo "::warning::PR изменяет $TOTAL строк (> 1000). Подумай о дроблении на несколько меньших." echo "::error::Найдены секреты в коммитах! См. лог выше."
fi exit 1
fi
# ────────────────────────────────────────────────────────────────────
# DEPLOY — собирает прод-бандл и заливает на ОБА сервера (S1+S2) size-check:
# параллельно через rsync over SSH. name: PR size check
# if: github.event_name == 'pull_request'
# Запускается ТОЛЬКО на push в main (т.е. после успешного мержа PR). runs-on: ubuntu-latest
# PR-проверки выше (lint/build/secret-scan/size-check) гарантируют steps:
# что в main попадает только корректный код. - uses: actions/checkout@v3
# with:
# Секреты: fetch-depth: 0
# DEPLOY_SSH_KEY — приватный ed25519 ключ (CI-only, отдельный от - name: Check PR size
# админских), pubkey уже на ~min/.ssh/authorized_keys run: |
# на S1 VM 124 и S2 VM 124 ADDED=$(git diff origin/${{ github.base_ref }}...HEAD --shortstat | grep -oE '[0-9]+ insertion' | grep -oE '[0-9]+' || echo 0)
# KNOWN_HOSTS — host-keys S1 и S2 (защита от MITM) REMOVED=$(git diff origin/${{ github.base_ref }}...HEAD --shortstat | grep -oE '[0-9]+ deletion' | grep -oE '[0-9]+' || echo 0)
# TOTAL=$((ADDED + REMOVED))
# Цели (на VM 124 обоих серверов): echo "PR изменяет $TOTAL строк (+$ADDED / -$REMOVED)"
# /var/www/rublox-player/build/ if [ "$TOTAL" -gt 1000 ]; then
# ──────────────────────────────────────────────────────────────────── echo "::warning::PR изменяет $TOTAL строк (> 1000). Подумай о дроблении на несколько меньших."
deploy: fi
name: Deploy to S1 + S2
if: github.event_name == 'push' && github.ref == 'refs/heads/main' # ────────────────────────────────────────────────────────────────────
# Lint НЕ в needs — он опциональный (исторический долг empty-блоков # DEPLOY — собирает прод-бандл и заливает на ОБА сервера (S1+S2)
# ещё не вычищен, см. branch protection без 'CI / Lint' в required). # параллельно через rsync over SSH.
# Deploy всё равно зависит от Build и Secret-scan — это критично. #
needs: [build, secret-scan] # Запускается ТОЛЬКО на push в main (т.е. после успешного мержа PR).
runs-on: ubuntu-latest # PR-проверки выше (lint/build/secret-scan/size-check) гарантируют
steps: # что в main попадает только корректный код.
- uses: actions/checkout@v3 #
- uses: actions/setup-node@v3 # Секреты:
with: # DEPLOY_SSH_KEY — приватный ed25519 ключ (CI-only, отдельный от
node-version: '18' # админских), pubkey уже на ~min/.ssh/authorized_keys
- name: Install deps # на S1 VM 124 и S2 VM 124
run: npm ci # KNOWN_HOSTS — host-keys S1 и S2 (защита от MITM)
- name: Production build #
run: npm run build # Цели (на VM 124 обоих серверов):
- name: Prepare SSH # /var/www/rublox-player/build/
env: # ────────────────────────────────────────────────────────────────────
DEPLOY_SSH_KEY: ${{ secrets.DEPLOY_SSH_KEY }} deploy:
KNOWN_HOSTS: ${{ secrets.KNOWN_HOSTS }} name: Deploy to S1 + S2
run: | if: github.event_name == 'push' && github.ref == 'refs/heads/main'
mkdir -p ~/.ssh && chmod 700 ~/.ssh # Lint НЕ в needs — он опциональный (исторический долг empty-блоков
echo "$DEPLOY_SSH_KEY" > ~/.ssh/id_deploy # ещё не вычищен, см. branch protection без 'CI / Lint' в required).
chmod 600 ~/.ssh/id_deploy # Deploy всё равно зависит от Build и Secret-scan — это критично.
echo "$KNOWN_HOSTS" > ~/.ssh/known_hosts needs: [build, secret-scan]
chmod 600 ~/.ssh/known_hosts runs-on: ubuntu-latest
- name: Install rsync steps:
run: apt-get update -qq && apt-get install -y rsync openssh-client - uses: actions/checkout@v3
# S1 — НЕ блокирующий: при недоступности S1 (downtime) деплой не должен - uses: actions/setup-node@v3
# валиться, главное доставить на S2. ConnectTimeout 20с чтобы не висеть. with:
- name: Deploy to S1 (85.175.7.40:1998) node-version: '18'
continue-on-error: true - name: Install deps
run: | run: npm ci
rsync -az --delete-after --human-readable --exclude=wiki --exclude=kubikon-assets \ - name: Production build
-e "ssh -i ~/.ssh/id_deploy -o UserKnownHostsFile=~/.ssh/known_hosts -o ConnectTimeout=20 -p 1998" \ run: npm run build
build/ min@85.175.7.40:/var/www/rublox-player/build/ - name: Prepare SSH
- name: Deploy to S2 (192.168.0.124:22, runner в той же сети) env:
run: | DEPLOY_SSH_KEY: ${{ secrets.DEPLOY_SSH_KEY }}
rsync -az --delete-after --human-readable --exclude=wiki --exclude=kubikon-assets \ KNOWN_HOSTS: ${{ secrets.KNOWN_HOSTS }}
-e "ssh -i ~/.ssh/id_deploy -o UserKnownHostsFile=~/.ssh/known_hosts -p 22" \ run: |
build/ min@192.168.0.124:/var/www/rublox-player/build/ mkdir -p ~/.ssh && chmod 700 ~/.ssh
- name: Verify S1 (не блокирующий) echo "$DEPLOY_SSH_KEY" > ~/.ssh/id_deploy
continue-on-error: true chmod 600 ~/.ssh/id_deploy
run: | echo "$KNOWN_HOSTS" > ~/.ssh/known_hosts
ssh -i ~/.ssh/id_deploy -o UserKnownHostsFile=~/.ssh/known_hosts -o ConnectTimeout=20 -p 1998 \ chmod 600 ~/.ssh/known_hosts
min@85.175.7.40 \ - name: Install rsync
"ls /var/www/rublox-player/build/index.html && du -sh /var/www/rublox-player/build/ 2>/dev/null || true" run: apt-get update -qq && apt-get install -y rsync openssh-client
- name: Verify S2 (обязательный) # S1 — НЕ блокирующий: при недоступности S1 (downtime) деплой не должен
run: | # валиться, главное доставить на S2. ConnectTimeout 20с чтобы не висеть.
ssh -i ~/.ssh/id_deploy -o UserKnownHostsFile=~/.ssh/known_hosts -p 22 \ - name: Deploy to S1 (85.175.7.40:1998)
min@192.168.0.124 \ continue-on-error: true
"ls /var/www/rublox-player/build/index.html && (du -sh /var/www/rublox-player/build/ 2>/dev/null || true)" run: |
rsync -az --delete-after --human-readable --exclude=wiki --exclude=kubikon-assets \
-e "ssh -i ~/.ssh/id_deploy -o UserKnownHostsFile=~/.ssh/known_hosts -o ConnectTimeout=20 -p 1998" \
build/ min@85.175.7.40:/var/www/rublox-player/build/
- name: Deploy to S2 (192.168.0.124:22, runner в той же сети)
run: |
rsync -az --delete-after --human-readable --exclude=wiki --exclude=kubikon-assets \
-e "ssh -i ~/.ssh/id_deploy -o UserKnownHostsFile=~/.ssh/known_hosts -p 22" \
build/ min@192.168.0.124:/var/www/rublox-player/build/
- name: Verify S1 (не блокирующий)
continue-on-error: true
run: |
ssh -i ~/.ssh/id_deploy -o UserKnownHostsFile=~/.ssh/known_hosts -o ConnectTimeout=20 -p 1998 \
min@85.175.7.40 \
"ls /var/www/rublox-player/build/index.html && du -sh /var/www/rublox-player/build/ 2>/dev/null || true"
- name: Verify S2 (обязательный)
run: |
ssh -i ~/.ssh/id_deploy -o UserKnownHostsFile=~/.ssh/known_hosts -p 22 \
min@192.168.0.124 \
"ls /var/www/rublox-player/build/index.html && (du -sh /var/www/rublox-player/build/ 2>/dev/null || true)"