Workflow artifacts

Learn about storing and sharing data as artifacts of GitHub Actions workflows.

Dans cet article

About workflow artifacts

An artifact is a file or collection of files produced during a workflow run. Artifacts allow you to persist data after a job has completed, and share that data with another job in the same workflow. For example, you can use artifacts to save your build and test output after a workflow run has ended.

GitHub provides two actions that you can use to upload and download build artifacts, upload-artifact and download-artifact.

Common artifacts include:

  • Log files and core dumps
  • Test results, failures, and screenshots
  • Binary or compressed files
  • Stress test performance output and code coverage results

Comparaison des artefacts et de la mise en cache des dépendances

Les artefacts et la mise en cache sont similaires, car ils permettent de stocker des fichiers sur GitHub, mais chaque fonctionnalitĂ© offre des cas d’utilisation diffĂ©rents et ne peut pas ĂȘtre utilisĂ©e de maniĂšre interchangeable.

  • Utilisez la mise en cache lorsque vous souhaitez rĂ©utiliser des fichiers qui ne changent pas souvent entre les travaux ou les exĂ©cutions de workflow, comme les dĂ©pendances de build d’un systĂšme de gestion de packages.
  • Utilisez les artefacts lorsque vous souhaitez enregistrer des fichiers gĂ©nĂ©rĂ©s par un travail pour les afficher au terme de l’exĂ©cution d’un workflow, comme des fichiers binaires gĂ©nĂ©rĂ©s ou des journaux de gĂ©nĂ©ration.

For more information on dependency caching, see Référence sur la mise en cache des dépendances.

Generating artifact attestations for builds

Les attestations d’artefact vous permettent de crĂ©er des garanties de provenance et d’intĂ©gritĂ© non vĂ©rifiables pour le logiciel que vous crĂ©ez. En retour, les personnes qui utilisent votre logiciel peuvent vĂ©rifier oĂč et comment il a Ă©tĂ© conçu.

Lorsque vous gĂ©nĂ©rez des attestations d’artefact avec votre logiciel, vous crĂ©ez des revendications signĂ©es par chiffrement qui Ă©tablissent la provenance de votre build et incluent les informations suivantes :

  • Un lien vers le flux de travail associĂ© Ă  l'artefact
  • Le rĂ©fĂ©rentiel, l'organisation, l'environnement, le SHA de validation et l'Ă©vĂ©nement dĂ©clencheur pour l'artefact
  • Autres informations du jeton OIDC utilisĂ©es pour Ă©tablir la provenance. Pour plus d’informations, consultez « OpenID Connect ».

Vous pouvez Ă©galement gĂ©nĂ©rer des attestations d’artefact qui incluent une nomenclature logicielle (SBOM). L’association de vos builds Ă  une liste des dĂ©pendances open source utilisĂ©es assure la transparence et permet aux consommateurs de se conformer aux normes de protection des donnĂ©es.

You can access attestations after a build run, underneath the list of the artifacts the build produced.

For more information, see Utilisation d’attestations d’artefact pour Ă©tablir la provenance des builds.

Artefacts des exécutions de flux de travail supprimées

Lorsqu’une exĂ©cution de flux de travail est supprimĂ©e, tous les artefacts associĂ©s Ă  l’exĂ©cution sont Ă©galement supprimĂ©s du stockage. Vous pouvez supprimer une exĂ©cution de flux de travail Ă  l’aide de l’interface utilisateur GitHub Actions, de l’API REST ou de l’interface de ligne de commande GitHub, consultez : Suppression d’une exĂ©cution de workflow, Supprimer une exĂ©cution de flux de travail, ou gh run delete.