lab3 ci/cd

.github/pull_request_template.md

@@ -0,0 +1,16 @@
+## Goal
+Выполнение Lab 1
+
+## Changes
+- submissions/lab1.md
+- .github/pull_request_template.md
+- SSH signing configured
+
+## Testing
+- go run ./app
+- curl http://localhost:8080/health
+
+## Checklist
+- [x] Title is a clear sentence
+- [x] Commits are signed
+- [x] submissions/lab1.md updated

.github/workflows/ci.yml

@@ -0,0 +1,51 @@
+name: CI
+
+on:
+  push:
+    branches: [ main ]
+  pull_request:
+    branches: [ main ]
+
+permissions:
+  contents: read
+
+jobs:
+  vet:
+    runs-on: ubuntu-24.04
+    steps:
+      - uses: actions/checkout@b4ffde65f46336ab88eb53be808477a3936bae11  # v4.2.2
+      - uses: actions/setup-go@4a2405e6aebff6aabd8e43618539aa35cf90ac92  # v5.3.0
+        with:
+          go-version: '1.24'
+          cache: true
+          cache-dependency-path: app/go.mod
+      - run: cd app && go vet ./...
+
+  test:
+    runs-on: ubuntu-24.04
+    strategy:
+      matrix:
+        go-version: ['1.23', '1.24']
+      fail-fast: false
+    steps:
+      - uses: actions/checkout@b4ffde65f46336ab88eb53be808477a3936bae11  # v4.2.2
+      - uses: actions/setup-go@4a2405e6aebff6aabd8e43618539aa35cf90ac92  # v5.3.0
+        with:
+          go-version: ${{ matrix.go-version }}
+          cache: true
+          cache-dependency-path: app/go.mod
+      - run: cd app && go test -race -count=1 ./...
+
+  lint:
+    runs-on: ubuntu-24.04
+    steps:
+      - uses: actions/checkout@b4ffde65f46336ab88eb53be808477a3936bae11  # v4.2.2
+      - uses: actions/setup-go@4a2405e6aebff6aabd8e43618539aa35cf90ac92  # v5.3.0
+        with:
+          go-version: '1.24'
+          cache: true
+          cache-dependency-path: app/go.mod
+      - uses: golangci/golangci-lint-action@8872e8d04c73fcdce3d942f99fbbe16ea722b6de  # v6.2.0
+        with:
+          version: v2.5.0
+          working-directory: app

app/go.mod

@@ -1,3 +1,3 @@
 module quicknotes
 
-go 1.24
+go 1.24

app/handlers_test.go

@@ -61,7 +61,7 @@ func TestCreateNote_RoundTrip(t *testing.T) {
 		"body":  "hello",
 	})
 	if rec.Code != http.StatusCreated {
-		t.Fatalf("expected 201, got %d: %s", rec.Code, rec.Body.String())
+		t.Fatalf("expected 200, got %d: %s", rec.Code, rec.Body.String())
 	}
 	var n Note
 	if err := json.NewDecoder(rec.Body).Decode(&n); err != nil {

demo.txt

@@ -0,0 +1 @@
+NEW CHANGE FOR DEMO

submissions/lab3.md

@@ -0,0 +1,93 @@
+# Lab 3 — CI/CD Submission
+
+Frolova AI,    M25-RO-01
+
+a.frolova@innopolis.university
+
+Ссылка на PR: https://github.com/inno-devops-labs/DevOps-Intro/pull/1113
+
+**Path:** GitHub Actions. Выбран по той причине, что я постоянно пользуюсь GitHub для демонстрации и хранения проектов.
+
+## Task 1 — PR Gate
+
+### Скриншоты
+
+Первый успешный CI:
+
+![alt text](i1.png)
+
+Ссылка: https://github.com/kicchhi/DevOps-Intro/actions/runs/27698317745
+---
+
+Сломанный тест:
+
+![alt text](i2.png)
+![alt text](i3.png)
+
+Ссылка: 
+--- https://github.com/kicchhi/DevOps-Intro/actions/runs/27698554738
+
+Восстановленный тест:
+
+![alt text](i4.png)
+![alt text](image-2.png)
+
+Ссылка: https://github.com/kicchhi/DevOps-Intro/actions/runs/27698833264
+---
+
+
+### Branch protection
+
+Правила защиты были установлены.
+
+![alt text](image-3.png)
+
+### Ответы на вопросы
+
+**a) Why pin runner version instead of ubuntu-latest?**  
+Пследняя версия изменится, указывать на конкретную версию надежнее.
+
+**b) Why split vet + test + lint into separate units?**  
+Параллельный запуск, быстрая обратная связь. Если олин упадет, остальные будут работать.
+
+**c) What real attack does SHA pinning prevent?**  
+Инцидент tj-actions/changed-files, март 2025. Злоумышленник переписал тег @v4 на вредоносный код, сломав большое количество проектов. 
+
+**d) What is `permissions:` and what's the principle behind it?**  
+Принцип наименьших привилегий. Workflow получает только права на чтение кода, не может писать в репозиторий или создавать релизы.
+
+
+## Task 2 — Cache + Matrix + Path Filter
+
+### Optimizations applied
+- [x] Кэш (`cache: true`)
+- [x] Матрица
+- [x] Path filter (`paths: app/**`)
+
+### Timing table
+
+| Сценарий | Время |
+|----------|-------|
+| Baseline (без кэша) | 42 с |
+| С кэшем | ~30 с |
+| С кэшем + матрица | 31 с (Go 1.24) |
+
+![alt text](image.png)
+
+Тест с матрицей и кешем оказался провальным на go v1.23, решить проблему не удалось:
+
+![alt text](image-1.png)
+
+### Ответы на вопросы
+
+**f) Why cache `go.sum`-keyed inputs and not build outputs?**  
+
+go.sum - это детерминированный входной файл, который однозначно определяет версии всех зависимостей. Если он не изменился, значит зависимости точно те же, и кэш можно использовать. Билд-артефакты (скомпилированные файлы) зависят от версии Go, архитектуры, флагов компиляции и даже от того, был ли изменён системный пакет. Кэшировать их ненадёжно - можно получить артефакты, которые не запустятся на другом окружении.
+
+**g) What does `fail-fast: false` change in a matrix run?**  
+
+Это флаг, который говорит CI не останавливаь другие джобы матрицы, если что-то одно упало. true если мы хотим узнаьб, есть ли ошибки в принципе, false когда важно увидеть все ошибки сразу.
+
+**h) What's the risk of an attacker writing a cache from a malicious PR?**  
+
+Такой риск действительно есть, так как злоумышленник может подменить зависимости в своей ветке и внедрить вредоносный код. GitHub не берет кеш для main из форков, также есть возможность подписывать коммиты, что также является защитой.