WORKSPACE ルールでの非密閉動作の検出

問題を報告する ソースを表示 夜間 7.4 をタップします。 7.3 · 7.2 · 7.1 · 7.0 · 6.5

以降では、ホストマシンは Bazel が実行されるマシンです。

リモート実行を使用する場合、実際のビルドステップやテストステップはホストマシンで行われず、リモート実行システムに送信されます。ただし、ワークスペース ルールの解決に伴う手順はホストマシンで実行されます。ワークスペースのルールでアクセスに関する情報と 使用しようとすると、ビルドがクラッシュする可能性が 環境間の非互換性の問題が起きます

リモート環境への Bazel ルールの調整の一環として 実行するにはそのようなワークスペースのルールを 修正しますこのページでは、ワークスペース ログを使用して、問題の原因となる可能性があるワークスペース ルールを見つける方法について説明します。

気密性のないルールの検出

Workspace ルールを使用すると、デベロッパーは依存関係を追加できる 外部ワークスペースに備わっていますが、十分なリソースを備えており、 発生します。関連するすべてのコマンドはローカルで実行されるため、気密性の低下を引き起こす可能性があります。通常、非密閉型の動作は、ホストマシンとのやり取りを可能にする repository_ctx を介して導入されます。

Bazel 0.18 以降では、Bazel コマンドに --experimental_workspace_rules_log_file=[PATH] フラグを追加することで、非完全性のある可能性があるアクションのログを取得できます。ここで、[PATH] はログが作成されるファイル名です。

注意事項:

  • 実行中のイベントがログにキャプチャされます。一部の手順が ログに表示されないため、完全な結果を得るには、 bazel clean --expunge を事前に実行することを忘れないでください。

  • 関数が再実行されることがあります。その場合、関連する関数が イベントがログに複数回表示されます。

  • 現在、Workspace のルールでは Starlark のイベントのみがログに記録されます。

ワークスペースの初期化中に実行された内容を確認するには:

  1. bazel clean --expunge を実行します。このコマンドを実行すると、ローカル キャッシュと キャッシュ内のリポジトリを削除して、すべての初期化が再実行されるようにします。

  2. Bazel コマンドに --experimental_workspace_rules_log_file=/tmp/workspacelog を追加してビルドを実行します。

    これにより、次の型のメッセージを一覧表示するバイナリ proto ファイルが生成されます。 WorkspaceEvent

  3. 次のコマンドを使用して Bazel ソースコードをダウンロードし、Bazel フォルダに移動します。workspacelog パーサーでワークスペース ログを解析するには、ソースコードが必要です。

    git clone https://github.com/bazelbuild/bazel.git
cd bazel

  4. Bazel ソースコード リポジトリで、ワークスペース ログ全体をテキストに変換します。

    bazel build src/tools/workspacelog:parser
bazel-bin/src/tools/workspacelog/parser --log_path=/tmp/workspacelog > /tmp/workspacelog.txt

  5. 出力はかなり冗長で、Bazel によるビルドの出力が含まれている場合があります。 できます。

    特定のルールを出力から除外するには、--exclude_rule オプションを使用します。例:

    bazel build src/tools/workspacelog:parser
bazel-bin/src/tools/workspacelog/parser --log_path=/tmp/workspacelog \
    --exclude_rule "//external:local_config_cc" \
    --exclude_rule "//external:dep" > /tmp/workspacelog.txt

  6. /tmp/workspacelog.txt を開き、安全でないオペレーションがないか確認します。

ログは WorkspaceEvent 非機密の可能性がある特定のアクションについて概説する repository_ctx

非密封の可能性としてハイライト表示されているアクションは次のとおりです。

  • execute: ホスト環境で任意のコマンドを実行します。ホスト環境に依存関係が生じる可能性があるかどうかを確認します。

  • downloaddownload_and_extract: 密閉型のビルドを行うには、 SHA256 が指定されている

  • filetemplate: これはそれ自体が非気密ではありませんが、ホスト環境の依存関係をリポジトリに導入するメカニズムになる可能性があります。入力元を理解し、入力元がないように注意する 依存します。

  • os: それ自体は非密閉型ではありませんが、依存関係を取得する簡単な方法です。 作成されます。通常、気密性の高いビルドでは呼び出されません。使用が密閉型かどうかを評価する際は、この点に留意してください。 ワーカーではなくホスト上で実行されています通常、リモートビルドでは、ホストから環境固有の情報を取得することはおすすめしません。

  • symlink: 通常、これは安全ですが、レッドフラグを探してください。シンボリック リンクは、 絶対パスにファイルを保存すると、実行時に問題が発生します。 支援しますホストマシンのプロパティに基づいてシンボリック リンクが作成されている場合も、問題が発生する可能性があります。

  • which: 通常、ホストにインストールされているプログラムの確認に問題があります ワーカーの構成が異なる可能性があるためです