fix(renovate): pass private cargo registry env vars through to the Renovate container#163
Merged
Merged
Conversation
This file contains hidden or bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
Add this suggestion to a batch that can be applied as a single commit.This suggestion is invalid because no changes were made to the code.Suggestions cannot be applied while the pull request is closed.Suggestions cannot be applied while viewing a subset of changes.Only one suggestion per line can be applied in a batch.Add this suggestion to a batch that can be applied as a single commit.Applying suggestions on deleted lines is not supported.You must change the existing code in this line in order to create a valid suggestion.Outdated suggestions cannot be applied.This suggestion has been applied or marked resolved.Suggestions cannot be applied from pending reviews.Suggestions cannot be applied on multi-line comments.Suggestions cannot be applied while the pull request is queued to merge.Suggestion cannot be applied right now. Please check back later.
Problème
Les mises à jour de lockfile cargo échouent en
renovate/artifacts, sanstarget_urlsur le status — l'erreur réelle n'est visible que dans le log du run :Ça casse au parsing du manifeste, avant tout accès réseau — ce n'est donc pas un problème de credentials sur le registre privé (aucun 401/403).
Cause
renovatebot/github-actionfiltreprocess.envpar une regex avant de peupler le conteneur Docker Renovate. Danssrc/input.ts, au digest épinglé ici (b50d2ba, v46.1.18) :CARGO_REGISTRIES_KELLNR_*ne matche pas → les variables n'entrent jamais dans le conteneur, et cargo ignore l'existence du registre. Elles apparaissent malgré tout dans le log parce que GitHub Actions affiche le blocenv:du step : présentes côté runner, absentes côté conteneur, d'où un échec trompeur.RENOVATE_HOST_RULESpasse (préfixeRENOVATE_), ce qui explique que la découverte des versions fonctionne et que les PR s'ouvrent normalement — seule la régénération du lockfile casse.Correctif
env-regex= le défaut de l'action +CARGO_REGISTRIES_KELLNR_(?:INDEX|TOKEN).Aucun check CI ne valide cette regex : elle a donc été vérifiée en local en rejouant le chemin exact de l'action (YAML parsé →
new RegExp→.test(key)).LOG_LEVEL,NODE_OPTIONS, proxies,RENOVATE_*) — aucune régression.AWS_SECRET_ACCESS_KEY,GITHUB_TOKEN,PATHrestent bloqués).Vérification restante
Résoudre le registre va exercer l'auth pour la première fois. Si le token est mal câblé, une seconde erreur apparaîtra — distincte et reconnaissable : un 401/403, et non plus un
registry index was not found. À confirmer au prochain run planifié.