GitHub Actions复用Workflow与Composite Actions治理

# GitHub Actions复用Workflow与Composite Actions治理 ## 概览 - 复用工作流支持跨仓库/环境复用；组合动作封装步骤；统一版本与权限提升可维护性与安全。 ## 技术参数（已验证） - 复用工作流：`workflow_call` 输入/输出与权限；在调用方引用并传参；控制可见性与分支。 - 组合动作：`action.yml` 定义 `runs.using: composite`；接受输入与导出输出；版本化与发布。 - 权限与安全：最小权限 `permissions`；限制 `GITHUB_TOKEN` 范围；签名与校验第三方动作。 - 版本管理：使用 tag/sha 固定版本；避免浮动 `@main`；在变更中审查。 - 观测：记录运行与失败；缓存与并行参数优化。 ## 实战清单 - 建立组织级复用库与动作；统一文档与示例。 - 在调用方控制权限与版本；在失败时快速回滚。 - 将复用产物纳入审计与告警；持续优化效率。