Workflow artifacts

Learn about storing and sharing data as artifacts of GitHub Actions workflows.

Dans cet article

About workflow artifacts

An artifact is a file or collection of files produced during a workflow run. Artifacts allow you to persist data after a job has completed, and share that data with another job in the same workflow. For example, you can use artifacts to save your build and test output after a workflow run has ended.

GitHub provides two actions that you can use to upload and download build artifacts, upload-artifact and download-artifact.

Common artifacts include:

  • Log files and core dumps
  • Test results, failures, and screenshots
  • Binary or compressed files
  • Stress test performance output and code coverage results

Comparaison des artefacts et de la mise en cache des dépendances

Les artefacts et la mise en cache sont similaires, car ils permettent de stocker des fichiers sur GitHub, mais chaque fonctionnalité offre des cas d’utilisation différents et ne peut pas être utilisée de manière interchangeable.

  • Utilisez la mise en cache lorsque vous souhaitez réutiliser des fichiers qui ne changent pas souvent entre les travaux ou les exécutions de workflow, comme les dépendances de build d’un système de gestion de packages.
  • Utilisez les artefacts lorsque vous souhaitez enregistrer des fichiers générés par un travail pour les afficher au terme de l’exécution d’un workflow, comme des fichiers binaires générés ou des journaux de génération.

For more information on dependency caching, see Référence sur la mise en cache des dépendances.

Generating artifact attestations for builds

Les attestations d’artefact vous permettent de créer des garanties de provenance et d’intégrité non vérifiables pour le logiciel que vous créez. En retour, les personnes qui utilisent votre logiciel peuvent vérifier où et comment il a été conçu.

Lorsque vous générez des attestations d’artefact avec votre logiciel, vous créez des revendications signées par chiffrement qui établissent la provenance de votre build et incluent les informations suivantes :

  • Lien vers le flux de travail associé à l’artefact.
  • Le référentiel, l’organisation, l’environnement, le commit SHA et l’événement de déclenchement de l’artefact.
  • Autres informations du jeton OIDC utilisées pour établir la provenance. Pour plus d’informations, consultez « OpenID Connect ».

Vous pouvez également générer des attestations d’artefact qui incluent une nomenclature logicielle (SBOM). L’association de vos builds à une liste des dépendances open source utilisées assure la transparence et permet aux consommateurs de se conformer aux normes de protection des données.

You can access attestations after a build run, underneath the list of the artifacts the build produced.

For more information, see Using artifact attestations to establish provenance for builds.

Artefacts des exécutions de flux de travail supprimées

Lorsqu’une exécution de flux de travail est supprimée, tous les artefacts associés à l’exécution sont également supprimés du stockage. Vous pouvez supprimer une exécution de flux de travail à l’aide de l’interface utilisateur GitHub Actions, de l’API REST ou de l’interface de ligne de commande GitHub, consultez : Suppression d’une exécution de workflow, Supprimer une exécution de flux de travail, ou gh run delete.