Repository-hemmeligheter
En Parlant~ bruker GitHub Actions til å bygge utgivelsesbinærfiler for Windows, macOS og Linux. CI-pipelinen trenger legitimasjon for kodesignering, oppdateringssignering, virusskanning og URL-en til flerspillerrelé-serveren. Disse lagres som GitHub repository-hemmeligheter — krypterte verdier som GitHub injiserer i arbeidsflytkjøringer, men aldri viser.
Hvis du forker En Parlant~ og ønsker å produsere dine egne signerte bygg, må du sette opp dine egne hemmeligheter. Byggene vil fortsatt kompilere uten dem, men binærfilene vil ikke være signert, oppdateringer vil ikke verifiseres, og VirusTotal-skannesteget hoppes over.
Hemmelighetene
Section titled “Hemmelighetene”Azure Trusted Signing (Windows-kodesignering)
Section titled “Azure Trusted Signing (Windows-kodesignering)”Windows-brukere får en SmartScreen-advarsel («Windows beskyttet PC-en din») når de kjører en usignert .exe. Kodesignering eliminerer den advarselen og forteller Windows at binærfilen kommer fra en verifisert utgiver.
En Parlant~ bruker Azure Trusted Signing til dette. Tauri-bygget kaller trusted-signing-cli under Windows-byggesteget, som kommuniserer med Azure for å signere den kjørbare filen.
| Hemmelighet | Formål |
|---|---|
AZURE_CLIENT_ID | App-ID for tjenesteprinsipal |
AZURE_CLIENT_SECRET | Legitimasjon for tjenesteprinsipal |
AZURE_TENANT_ID | Azure AD-tenant |
AZURE_SUBSCRIPTION_ID | Azure-abonnement |
AZURE_CODE_SIGNING_ACCOUNT | Kontonavn for Trusted Signing |
AZURE_CODE_SIGNING_ENDPOINT | Endepunkts-URL for Trusted Signing |
AZURE_CODE_SIGNING_PROFILE | Navn på sertifikatprofil |
For å sette opp ditt eget: Opprett en Azure-konto, sett opp en Trusted Signing-ressurs, opprett en sertifikatprofil, og registrer en tjenesteprinsipal med de nødvendige tillatelsene. Microsofts Trusted Signing-hurtigstart veileder deg gjennom prosessen.
Hvis du hopper over dette: Windows-bygg fungerer fortsatt, men brukerne dine vil bli møtt av den fryktede blå SmartScreen-dødsadvarselen — du vet hvilken. Vi har alle klikket «Kjør likevel» og håpet på det beste. macOS- og Linux-bygg påvirkes ikke.
Tauri-oppdateringssignering
Section titled “Tauri-oppdateringssignering”Tauris innebygde oppdateringsverktøy verifiserer at oppdateringer kommer fra den ekte utgiveren, ikke en manipulert kilde. Når appen sjekker etter en ny versjon, laster den ned oppdateringen og verifiserer signaturen mot en offentlig nøkkel som er innebygd i appen. Den private nøkkelen som oppretter disse signaturene ligger i CI.
| Hemmelighet | Formål |
|---|---|
TAURI_PRIVATE_KEY | Ed25519 privat nøkkel for signering av oppdateringer |
TAURI_KEY_PASSWORD | Passord som beskytter den private nøkkelen |
For å sette opp ditt eget: Generer et nøkkelpar med pnpm tauri signer generate. Legg den private nøkkelen og passordet i repository-hemmelighetene dine, og den offentlige nøkkelen i tauri.conf.json under plugins.updater.pubkey.
Hvis du hopper over dette: Appen bygger fint, men den automatiske oppdateringsfunksjonen vil ikke fungere. Brukere må laste ned nye versjoner manuelt.
VirusTotal
Section titled “VirusTotal”Etter at utgivelsesartefakter er bygget, laster CI-pipelinen opp alle binærfiler (.exe, .dmg, .deb, .rpm, .AppImage) til VirusTotal for automatisert skadevare-skanning. Dette er et tillitssignal — brukere kan verifisere at de offisielle byggene er rene.
| Hemmelighet | Formål |
|---|---|
VIRUSTOTAL_API_KEY | API-nøkkel for VirusTotal v3 API |
For å sette opp din egen: Opprett en gratis VirusTotal-konto og kopier API-nøkkelen din fra profilen din.
Hvis du hopper over dette: VirusTotal-skannesteget feiler stille. Bygg lykkes fortsatt og utgis normalt — du vil bare ikke ha automatiserte skanneresultater.
URL for flerspillerrelé
Section titled “URL for flerspillerrelé”URL-en til flerspillerrelé-serveren injiseres ved byggetidspunkt slik at appen vet hvor den skal koble til for nettspill.
| Hemmelighet | Formål |
|---|---|
VITE_RELAY_URL | WebSocket-URL for flerspillerreléen (f.eks. wss://your-relay.fly.dev) |
For å sette opp din egen: Distribuer din egen relé-server (se oppsettguiden for flerspillerserver) og sett denne til dens offentlige URL.
Hvis du hopper over dette: Flerspiller fungerer fortsatt hvis du angir relé-URL-en i appens innstillinger ved kjøretid. Denne hemmeligheten setter bare standardverdien slik at brukere ikke trenger å konfigurere det manuelt.
Oppsummering
Section titled “Oppsummering”| Hemmelighetsgruppe | Nødvendig for | Kan du hoppe over det? |
|---|---|---|
| Azure (7 hemmeligheter) | Signerte Windows-bygg | Ja — bygg fungerer, brukere får SmartScreen-advarsel |
| Tauri (2 hemmeligheter) | Automatisk oppdatering | Ja — bygg fungerer, ingen automatisk oppdatering |
| VirusTotal (1 hemmelighet) | Skadevare-skannerapporter | Ja — bygg fungerer, ingen skanneresultater |
| Relé-URL (1 hemmelighet) | Standard flerspillerserver | Ja — brukere kan angi den i appens innstillinger |
Ingen av disse hemmelighetene er nødvendige for å bygge og kjøre appen lokalt. De er kun relevante for CI/CD-utgivelsesbygg.