捕获 Git SCM 信息

在配方中处理源代码有两种主要策略

  • 第三方代码:当 conanfile.py 配方打包第三方代码(如开源库)时,通常最好使用 source() 方法下载或克隆该库的源代码。这是 conan-center-index 仓库为 ConanCenter 遵循的方法。

  • 您自己的代码:当 conanfile.py 配方打包您自己的代码时,通常最好将 conanfile.py 放在与源代码相同的仓库中。然后,有两种实现可重现性的替代方案

    • 使用 exports_sources(或 export_source() 方法)将源代码的副本与配方一起捕获到 Conan 包中。这非常简单实用,建议在大多数情况下使用。

    • 在无法将源代码与 Conan 配方一起存储的情况下,例如当包需要供不应有源代码访问权限的人使用时,当前的 **SCM 捕获**方法将是最佳选择。

在 **SCM 捕获**方法中,不是捕获代码本身的副本,而是捕获该代码的“坐标”,在 Git 案例中,是仓库的 urlcommit。如果配方需要从源代码构建,它将使用该信息获取克隆,如果尝试该操作的用户未授权,则过程将失败。他们仍然可以使用我们分发的预编译二进制文件,但不能从源代码构建或访问代码。

让我们通过一个例子来看看它是如何工作的。请先克隆源代码以重新创建此项目。您可以在 GitHub 上的 examples2 仓库中找到它们

$ git clone https://github.com/conan-io/examples2.git
$ cd examples2/examples/tools/scm/git/capture_scm

在那里我们将找到一个小的“hello”项目,其中包含这个 conanfile.py

from conan import ConanFile
from conan.tools.cmake import CMake, cmake_layout
from conan.tools.scm import Git


class helloRecipe(ConanFile):
    name = "hello"
    version = "0.1"

    # Binary configuration
    settings = "os", "compiler", "build_type", "arch"
    options = {"shared": [True, False], "fPIC": [True, False]}
    default_options = {"shared": False, "fPIC": True}
    generators = "CMakeDeps", "CMakeToolchain"

    def export(self):
        git = Git(self, self.recipe_folder)
        # save the url and commit in conandata.yml
        git.coordinates_to_conandata()

    def source(self):
        # we recover the saved url and commit from conandata.yml and use them to get sources
        git = Git(self)
        git.checkout_from_conandata_coordinates()

    ...

我们需要将这段代码放在自己的 Git 仓库中,以便在实际情况下了解其工作原理,所以请在 examples2 仓库之外创建一个文件夹,并将当前文件夹的内容复制到那里,然后

$ mkdir /home/myuser/myfolder # or equivalent in other OS
$ cp -R . /home/myuser/myfolder # or equivalent in other OS
$ cd /home/myuser/myfolder # or equivalent in other OS

# Initialize the git repo
$ git init .
$ git add .
$ git commit . -m wip
# Finally create the package
$ conan create .
...
======== Exporting recipe to the cache ========
hello/0.1: Exporting package recipe: /myfolder/conanfile.py
hello/0.1: Calling export()
hello/0.1: RUN: git status . --short --no-branch --untracked-files
hello/0.1: RUN: git rev-list HEAD -n 1 --full-history -- "."
hello/0.1: RUN: git remote -v
hello/0.1: RUN: git branch -r --contains cb7815a58529130b49da952362ce8b28117dee53
hello/0.1: RUN: git fetch origin --dry-run --depth=1 cb7815a58529130b49da952362ce8b28117dee53
hello/0.1: WARN: Current commit cb7815a58529130b49da952362ce8b28117dee53 doesn't exist in remote origin
This revision will not be buildable in other computer
hello/0.1: RUN: git rev-parse --show-toplevel
hello/0.1: Copied 1 '.py' file: conanfile.py
hello/0.1: Copied 1 '.yml' file: conandata.yml
hello/0.1: Exported to cache folder: /.conan2/p/hello237d6f9f65bba/e
...
======== Installing packages ========
hello/0.1: Calling source() in /.conan2/p/hello237d6f9f65bba/s
hello/0.1: Cloning git repo
hello/0.1: RUN: git clone "<hidden>"  "."
hello/0.1: Checkout: cb7815a58529130b49da952362ce8b28117dee53
hello/0.1: RUN: git checkout cb7815a58529130b49da952362ce8b28117dee53

让我们逐步解释发生了什么

  • 当配方导出到 Conan 缓存时,export() 方法执行 git.coordinates_to_conandata(),它通过内部调用 git.get_url_and_commit() 将 Git URL 和提交存储在 conandata.yml 文件中。有关这些方法的更多信息,请参阅 Git 参考

  • 这会获取指向本地 <local-path>/capture_scm 的仓库 URL 和提交 8e8764c40bebabbe3ec57f9a0816a2c8e691f559

  • 它警告说,一旦包上传到服务器并尝试在其他计算机上从源代码构建,此信息将**不足以**从源代码重新构建此配方,因为该计算机将不包含 <local-path>/capture_scm 指向的路径。这是预料之中的,因为我们创建的仓库没有定义任何远程。如果我们的本地克隆定义了远程并且该远程包含我们正在构建的 commit,则 scm_url 将指向远程仓库,从而使从源代码构建完全可重现。

  • export() 方法将 urlcommit 信息存储在 conandata.yml 中,以备将来可重现性。

  • 当包需要从源代码构建并调用 source() 方法时,它会在 git.checkout_from_conandata_coordinates() 方法中从 conandata.yml 文件中恢复信息,该方法内部调用 git.clone() 以检索源代码。在这种情况下,它将从 <local-path>/capture_scm 中的本地检出克隆,但如果定义了远程,它将从远程克隆。

警告

为了实现可重现性,这种 **SCM 捕获**技术非常重要,即当前的检出不是脏的。如果它是脏的,将无法保证构建的未来可重现性,因此 git.get_url_and_commit() 可能会引发错误,并要求提交更改。如果需要多次提交,建议在将更改推送到上游仓库之前压缩这些提交。

如果我们现在执行第二次 conan create .,由于仓库是脏的,我们将得到

$ conan create .
hello/0.1: Calling export()
ERROR: hello/0.1: Error in export() method, line 19
    scm_url, scm_commit = git.get_url_and_commit()
    ConanException: Repo is dirty, cannot capture url and commit: .../capture_scm

这可以通过使用 git clean -xdf 清理仓库来解决,或者通过向仓库添加一个包含以下内容的 .gitignore 文件(这对于源代码控制来说可能是一个好习惯)

.gitignore
test_package/build
test_package/CMakeUserPresets.json

坐标的捕获使用 Git.get_url_and_commit() 方法,该方法默认执行以下操作

  • 如果仓库是脏的,它将引发异常

  • 如果仓库不脏,但提交不存在于远程,它会发出警告,但会将本地文件夹作为仓库 url 返回。这样,本地提交可以在不需要推送到服务器的情况下进行测试。core.scm:local_url=allow 可以使警告静默,而 core.scm:local_url=block 将立即引发错误:此最后一个值对于 CI 场景可能很有用,可以快速失败并保存一个稍后会被 conan upload 阻止的构建。

  • 尝试使用 conan upload 将使用本地提交构建的包上传到服务器将失败,因为这些本地提交不在服务器中,因此包可能无法重现。可以通过设置 core.scm:local_url=allow 来避免此上传错误。

  • 如果仓库不脏,并且提交存在于服务器中,它将返回远程 URL 和提交。

凭据管理

在上面的示例中,不需要凭据,因为我们的本地仓库不需要它们。但在实际场景中,可能需要凭据。

第一点很重要,git.get_url_and_commit() 将捕获 origin 远程的 URL。这个 URL 不得编码令牌、用户或密码,原因有几个。首先,这将使过程不可重复,不同的构建、不同的用户将获得不同的 URL,从而导致不同的配方修订。这个 url 应该始终相同。推荐的方法是正交地管理凭据,例如使用 ssh 密钥。提供的示例包含一个执行此操作的 Github Action

.github/workflows/hello-demo.yml
name: Build "hello" package capturing SCM in Github actions
run-name: ${{ github.actor }} checking hello-ci Git scm capture
on: [push]
jobs:
Build:
    runs-on: ubuntu-latest
    steps:
    - name: Check out repository code
        uses: actions/checkout@v3
        with:
        ssh-key: ${{ secrets.SSH_PRIVATE_KEY }}
    - uses: actions/setup-python@v4
        with:
        python-version: '3.10'
    - uses: webfactory/ssh-agent@v0.7.0
        with:
        ssh-private-key: ${{ secrets.SSH_PRIVATE_KEY }}
    - run: pip install conan
    - run: conan profile detect
    - run: conan create .

这个 hello-demo.yml 负责以下事项

  • 检出 actions/checkout@v3 action 接收 ssh-keygit@ 而不是 https 检出

  • webfactory/ssh-agent@v0.7.0 action 负责在后续任务执行期间激活 ssh 密钥,而不仅仅是在检出期间。

  • 需要在 Github 界面中设置 SSH_PRIVATE_KEY 秘密,以及仓库的 deploy key(包含 ssh 密钥的私有和公共部分)

这样,可以将身份验证和凭据与配方功能完全分离,而没有任何泄露凭据的风险。

注意

最佳实践

  • 不要使用在 URL 中编码信息的身份验证机制。这有风险,很容易在日志中泄露凭据。建议使用系统机制,例如 ssh 密钥。

  • 不建议进行 conan create 进行本地开发,而应运行 conan install 并在本地构建,以避免过多的不必要提交。只有当所有内容在本地正常工作时,才开始检查 conan create 流程。