chore(ci/cd): use dotenv from vars

[2paperstar]

Summary by CodeRabbit

• 변경 사항
  • Android 및 iOS 애플리케이션의 빌드 및 테스트 프로세스 개선.
  • 환경 변수 참조를 ${{ secrets.DOTENV }}에서 ${{ vars.DOTENV }}로 변경하여 환경 설정 방식 조정.
  • 전반적인 워크플로우 구조는 유지되며, 기존 작업 및 단계는 그대로 유지됨.

[coderabbitai]

📝 Walkthrough

Walkthrough

이 풀 리퀘스트는 Android 및 iOS 애플리케이션의 빌드 및 테스트 프로세스를 개선하기 위해 GitHub Actions의 워크플로우 파일을 수정했습니다. Copy dotenv 단계에서 비밀 변수 참조를 ${{ secrets.DOTENV }}에서 ${{ vars.DOTENV }}로 변경하여 환경 변수 접근 방식을 조정했습니다. 또한, 조건부 실행이 새로운 환경 변수 run에 명확하게 연결되어 있으며, 전체 구조는 유지됩니다.

Changes

파일 경로	변경 요약
.github/workflows/test.yml	- 비밀 변수 ${{ secrets.DOTENV }}를 일반 변수 ${{ vars.DOTENV }}로 변경.
	- build-and-test 작업의 환경 변수 설정 업데이트.
.github/workflows/upload.yml	- 비밀 변수 ${{ secrets.DOTENV }}를 일반 변수 ${{ vars.DOTENV }}로 변경.
	- 환경 설정 및 빌드 과정에서의 기존 작업 구조 유지.

Possibly related PRs

• fix(ci/cd): remove env.run in upload.yml #444: upload.yml 워크플로우의 환경 변수 처리 및 캐싱 단계와 관련된 변경 사항.
• fix(ci/cd): wrong copy env #446: test.yml 및 upload.yml 워크플로우에서 환경 변수 복사와 관련된 변경 사항.
• chore: upgrade flutter 3.24.5 #509: test.yml 및 upload.yml에서 Flutter 버전을 업데이트하여 워크플로우의 구조와 기능 유지.

Suggested reviewers

• GwanLiZa
• dawnfire05

🐰 변화의 바람이 불어와
환경 변수도 새롭게 바뀌어가네!
빌드와 테스트가 더 명확해져
우리의 코드가 더욱 빛나길 바라네!
🥕✨

---

📜 Recent review details

Configuration used: CodeRabbit UI
Review profile: CHILL

📥 Commits

Reviewing files that changed from the base of the PR and between 9301136 and 7e127be.

📒 Files selected for processing (2)

• .github/workflows/test.yml (1 hunks)
• .github/workflows/upload.yml (1 hunks)

🔇 Additional comments (2)

.github/workflows/test.yml (1)

106-106: 환경 변수의 보안 검토가 필요합니다

secrets에서 vars로의 변경은 .env 파일의 내용이 민감한 정보를 포함하지 않는다는 것을 전제로 합니다. GitHub의 vars는 민감하지 않은 데이터용이며, 민감한 데이터는 secrets에 보관해야 합니다.

다음 스크립트를 실행하여 .env 파일이 민감한 정보를 포함하고 있는지 확인하십시오:

✅ Verification successful

vars 사용이 적절합니다

분석 결과, 이 프로젝트는 flutter_dotenv를 사용하여 환경 변수를 관리하고 있으며, .env 파일은 Flutter 애셋으로 등록되어 있습니다. Flutter 앱에서 사용되는 .env 파일은 일반적으로 API 엔드포인트, 앱 식별자, 분석 도구 설정 등 비민감한 구성 데이터를 포함하므로, GitHub Actions에서 vars를 사용하는 것이 적절합니다. 실제 민감한 데이터(예: API 키, 비밀번호)는 flutter_secure_storage를 통해 별도로 관리되고 있습니다.

🏁 Scripts executed

The following scripts were executed for the analysis:

Script:

#!/bin/bash
# Description: .env 파일에서 일반적인 민감한 정보 패턴을 검색합니다

# .env 파일의 예제나 템플릿 파일을 검색
fd -g "*.env*" -E "*.env.prod" -E "*.env.production"

# 민감한 정보 패턴을 검색 (예: API 키, 비밀번호, 토큰 등)
rg -i "key|secret|token|password|credential" .env* || true

Length of output: 162

---

Script:

#!/bin/bash
# Let's check the workflow file to understand the context of .env usage
cat .github/workflows/test.yml

# Also search for any .env related patterns in the codebase
rg -i "\.env" --type yaml

Length of output: 3494

---

Script:

#!/bin/bash
# Let's check the pubspec.yaml to understand how .env is used
cat pubspec.yaml

# Also search for any environment configuration related files
fd -g "*.example.env" -g "*.env.example" -g "env.dart" -g "env_config.dart"

Length of output: 2368

.github/workflows/upload.yml (1)

85-85: 환경 변수 처리 방식의 개선을 승인합니다.

secrets에서 vars로의 전환은 적절한 변경입니다. 이는 GitHub Actions의 변수 관리 모범 사례를 따르고 있습니다.

민감한 정보가 포함되어 있지 않은지 확인하기 위해 다음 스크립트를 실행하세요:

✅ Verification successful

Let's analyze the workflow files and documentation to understand the environment variable usage patterns and verify if this change is safe.

---

Let's analyze how DOTENV is used across the codebase and if there's any documentation about environment configuration.

---

환경 변수 처리 방식 변경이 적절합니다

secrets에서 vars로의 전환이 안전하다고 판단됩니다. 분석 결과:

• .env 파일은 개발 환경 설정과 빌드 구성을 위해 사용됨
• test.yml과 upload.yml 모두 동일한 방식으로 DOTENV를 처리
• 실제 민감한 정보(키스토어, API 키 등)는 여전히 secrets로 별도 관리 중
• pubspec.yaml에서 환경 설정 용도로만 사용되는 것이 확인됨

🏁 Scripts executed

The following scripts were executed for the analysis:

Script:

#!/bin/bash
# Description: DOTENV 내용에 민감한 정보가 포함되어 있는지 확인

# 일반적인 민감한 정보 패턴 확인
gh api -X GET repos/:owner/:repo/variables/DOTENV -q .value | grep -iE 'password|secret|key|token|credential|auth|api.*key'

# vars.DOTENV가 모든 환경에서 동일한지 확인
gh api -X GET repos/:owner/:repo/environments | jq -r '.environments[].name' | while read env; do
  echo "Checking $env environment..."
  gh api -X GET repos/:owner/:repo/environments/$env/variables/DOTENV -q .value 2>/dev/null || echo "DOTENV not found in $env"
done

Length of output: 240

---

Script:

#!/bin/bash
# Check if DOTENV is used in other workflow files
fd -e yml -e yaml . .github/workflows/ --exec grep -l "DOTENV" {}

# Check for any environment variable related patterns in workflow files
fd -e yml -e yaml . .github/workflows/ --exec grep -A 2 -B 2 "env:" {}

# Look for any documentation about environment setup
fd -g "README*" -g "CONTRIBUTING*" -g "docs/*env*" . --exec grep -l -i "env\|environment\|dotenv" {}

Length of output: 1635

---

Script:

#!/bin/bash
# Check the content of test.yml to see how DOTENV is used there
cat .github/workflows/test.yml

# Check for any .env related patterns in the repository
rg -l "\.env" -g "!{.git,node_modules}/*"

# Look for environment setup documentation in the root directory
cat README.md 2>/dev/null || echo "README.md not found"

Length of output: 6439

---

Thank you for using CodeRabbit. We offer it for free to the OSS community and would appreciate your support in helping us grow. If you find it useful, would you consider giving us a shout-out on your favorite social media?

❤️ Share

• X
• Mastodon
• Reddit
• LinkedIn

🪧 Tips

Chat

There are 3 ways to chat with CodeRabbit:

• Review comments: Directly reply to a review comment made by CodeRabbit. Example:
  • I pushed a fix in commit <commit_id>, please review it.
  • Generate unit testing code for this file.
  • Open a follow-up GitHub issue for this discussion.
• Files and specific lines of code (under the "Files changed" tab): Tag @coderabbitai in a new review comment at the desired location with your query. Examples:
  • @coderabbitai generate unit testing code for this file.
  • @coderabbitai modularize this function.
• PR comments: Tag @coderabbitai in a new PR comment to ask questions about the PR branch. For the best results, please provide a very specific query, as very limited context is provided in this mode. Examples:
  • @coderabbitai gather interesting stats about this repository and render them as a table. Additionally, render a pie chart showing the language distribution in the codebase.
  • @coderabbitai read src/utils.ts and generate unit testing code.
  • @coderabbitai read the files in the src/scheduler package and generate a class diagram using mermaid and a README in the markdown format.
  • @coderabbitai help me debug CodeRabbit configuration file.

Note: Be mindful of the bot's finite context window. It's strongly recommended to break down tasks such as reading entire modules into smaller chunks. For a focused discussion, use review comments to chat about specific files and their changes, instead of using the PR comments.

CodeRabbit Commands (Invoked using PR comments)

• @coderabbitai pause to pause the reviews on a PR.
• @coderabbitai resume to resume the paused reviews.
• @coderabbitai review to trigger an incremental review. This is useful when automatic reviews are disabled for the repository.
• @coderabbitai full review to do a full review from scratch and review all the files again.
• @coderabbitai summary to regenerate the summary of the PR.
• @coderabbitai resolve resolve all the CodeRabbit review comments.
• @coderabbitai configuration to show the current CodeRabbit configuration for the repository.
• @coderabbitai help to get help.

Other keywords and placeholders

• Add @coderabbitai ignore anywhere in the PR description to prevent this PR from being reviewed.
• Add @coderabbitai summary to generate the high-level summary at a specific location in the PR description.
• Add @coderabbitai anywhere in the PR title to generate the title automatically.

CodeRabbit Configuration File (.coderabbit.yaml)

• You can programmatically configure CodeRabbit by adding a .coderabbit.yaml file to the root of your repository.
• Please see the configuration documentation for more information.
• If your editor has YAML language server enabled, you can add the path at the top of this file to enable auto-completion and validation: # yaml-language-server: $schema=https://coderabbit.ai/integrations/schema.v2.json

Documentation and Community

• Visit our Documentation for detailed information on how to use CodeRabbit.
• Join our Discord Community to get help, request features, and share feedback.
• Follow us on X/Twitter for updates and announcements.