GitHub 全指南：从入门到精通

基于费曼学习法、西蒙学习法、SQ3R 阅读法和康奈尔笔记法，系统掌握 GitHub 平台协作、自动化与 AI 辅助开发的核心技巧。

一、概览与提问（SQ3R · Survey & Question）

SQ3R 第一步：快速浏览全貌，提出关键问题。

什么是 GitHub？（不只是代码托管）

GitHub 是全球最大的软件开发平台，但它远不止是一个"存放代码的地方"。本质上，GitHub 构建在 Git 版本控制系统之上，提供了完整的开发协作生态：从代码托管、代码审查、项目管理的 Issues 和 Projects，到自动化工作流的 GitHub Actions，再到 AI 辅助编程的 GitHub Copilot。

2008 年上线至今，GitHub 已托管超过 3 亿个仓库，拥有超过 1 亿开发者用户。它的核心价值在于将分布式版本控制（Git）与社交化协作（Pull Request、Discussion、Star、Fork）完美结合，成为现代软件开发的基石平台。

GitHub 的产品体系涵盖六大领域：

协作编码：Repositories、Pull Requests、Codespaces、Discussions
CI/CD 与 DevOps：GitHub Actions、GitHub Packages、GitHub Pages
安全与代码质量：Dependabot、Code Scanning、Secret Scanning、CodeQL
项目管理：Issues、Projects、GitHub CLI
AI 辅助开发：GitHub Copilot（代码补全、Chat、Agent 模式、代码审查）
企业与团队：Organizations、Enterprise、Teams

核心问题

GitHub 和 Git 是什么关系？——Git 是底层的分布式版本控制系统，GitHub 是基于 Git 构建的云端协作平台。你可以用 Git 而不用 GitHub，但很难高效协作。
为什么要用 GitHub 而不是其他平台？——GitHub 拥有最大的开发者社区和开源生态，与主流工具链（IDE、CI/CD、项目管理）深度集成，且 GitHub Copilot 和 GitHub Actions 是目前同类产品中最成熟的选择。
GitHub Actions 能做什么？——自动化构建、测试、部署、发布、项目管理等几乎所有软件开发生命周期中的重复性任务。
GitHub Copilot 和 ChatGPT 有什么区别？——Copilot 是深度集成在开发环境中的 AI 工具，能理解你的代码上下文、仓库结构，提供实时的代码补全和建议，而不仅是一个聊天界面。

技术全景图

GitHub 的核心架构可以分为四层：

基础层：Git 版本控制——Repository、Branch、Commit、Merge、Rebase，这些是所有上层功能的基础。理解 Git 的快照模型和分支策略，是使用 GitHub 的前提。

协作层：团队开发——Pull Request 工作流、Fork 模型、代码审查（Code Review）、Issue 追踪、Projects 看板、Discussions 讨论、CODEOWNERS 代码所有权。

自动化层：CI/CD 与安全——GitHub Actions 工作流、Dependabot 依赖更新、Code Scanning 漏洞扫描、Secret Scanning 密钥检测、GitHub Packages 包管理。

智能化层：AI 辅助——GitHub Copilot 代码补全、Copilot Chat 对话式编程、Copilot Agent 自主任务执行、Copilot Code Review AI 代码审查、Copilot CLI 命令行助手。

二、用最简单的话说清楚（费曼学习法）

费曼学习法核心理念：如果你不能用简单的语言解释一件事，说明你还没有真正理解它。

核心概念讲解

Repository（仓库）

仓库就是你的项目文件夹，不过它多了一项超能力：能记住文件每一次修改的历史。就像一个会自动拍照的相册，你可以随时回到任何一张"照片"（即任何一次提交时的状态）。

# 创建新仓库
git init my-project
cd my-project
git remote add origin https://github.com/username/my-project.git

# 或直接在 GitHub 上创建，然后克隆到本地
git clone https://github.com/username/my-project.git

Branch（分支）

分支是平行宇宙。你在主宇宙（main 分支）里安稳生活，同时在一个平行宇宙（特性分支）里做实验。实验成功了，就把平行宇宙合并回主宇宙；实验失败了，直接删除那个平行宇宙，主宇宙毫发无损。

# 创建并切换到新分支
git checkout -b feature/new-login

# 在新分支上工作...
git add .
git commit -m "feat: add new login page"

# 完成后切换回 main 并合并
git checkout main
git merge feature/new-login

Commit（提交）

提交是代码世界里的"存档点"。每次 Commit 都是对当前代码状态的一个快照，附带一条描述信息。好的 Commit 信息就像好的日记：几个月后你还能看懂当时做了什么。

git add src/login.tsx
git commit -m "feat: implement OAuth2 login with GitHub provider"

Commit 信息通常遵循 Conventional Commits 规范：type(scope): description，常见的 type 有 feat（新功能）、fix（修复）、docs（文档）、refactor（重构）、test（测试）、chore（杂项）。

Pull Request（PR）

Pull Request 是一个"请审核我的代码"的请求。你在一个分支上完成了工作，然后开一个 PR，让团队成员审查你的代码、提出修改意见、确认无误后再合并到主分支。这是现代软件开发中最重要的协作机制。

PR 不仅仅是代码合并——它是一轮完整的对话：可以在具体代码行上评论、建议修改、运行自动化测试、确认所有检查通过后才能合并。

Issue（议题）

Issue 就是"待办事项"或"问题追踪"。Bug 报告、功能请求、任务分配，都可以用 Issue 来管理。每个 Issue 都是一个讨论帖，可以分配给特定的人、打标签、关联到 Project 看板。

GitHub Actions

Actions 是 GitHub 内置的自动化引擎。你可以把它想象成一个不知疲倦的机器人助手——每当你推送代码、创建 PR 或发布新版本时，它会自动帮你做你事先编排好的事情：运行测试、构建项目、部署上线。

name: CI
on:
  push:
    branches: [main]
  pull_request:
    branches: [main]
jobs:
  test:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
      - uses: actions/setup-node@v4
        with:
          node-version: 20
      - run: npm ci
      - run: npm test

GitHub Copilot

Copilot 是你的 AI 编程搭档。它有三种形态：代码补全（你写一行，它猜出下面几行）、Copilot Chat（用自然语言问编程问题）、Copilot Agent（让它自主完成一个任务，比如修 Bug 或写测试）。它不是替代你写代码，而是帮你更快地写代码。

Dependabot

Dependabot 是你项目的"安全管家"。它会自动监控你的依赖包，当发现安全漏洞时创建 PR 提醒你升级，也能按计划定期检查依赖更新。

类比与比喻

GitHub 像 Google Docs，但为代码服务——多人同时编辑、历史版本追踪、评论和审查。
Branch 像书签——你可以在书的不同位置放多个书签，随时跳转。
Pull Request 像论文的同行评审——提交前让同行审核，提出修改意见，通过后才能发表。
GitHub Actions 像智能家电的自动化规则——"如果我推了代码，就自动开灯（跑测试）、锁门（部署）"。
Copilot 像一个经验丰富的搭档坐在你旁边——你打出函数名，它补全函数体；你描述需求，它生成代码。

常见误解澄清

误解：GitHub 就是 Git——事实：Git 是版本控制工具，GitHub 是基于 Git 的协作平台。还有 GitLab、Bitbucket 等替代品。
误解：GitHub 只能托管代码——事实：GitHub 支持 Issues（项目管理）、Discussions（社区讨论）、GitHub Pages（静态网站托管）、Actions（自动化）等，是一个完整的开发平台。
误解：开源项目才能用 GitHub——事实：GitHub 有免费的私有仓库，你可以把私人项目放在上面。
误解：Copilot 会取代程序员——事实：Copilot 是辅助工具，能提高效率，但仍需要人来审查和决策。它能生成代码，但不能理解业务需求。
误解：Actions 只能做 CI/CD——事实：Actions 是通用的自动化平台，可以用来定时创建 Issue、自动打标签、管理 PR、调用任何 API 等。

三、锥形深入（西蒙学习法）

西蒙学习法核心理念：集中精力，在有限时间内从基础到高级逐层深入。

第一层：核心基础

仓库管理

一切从仓库开始。在 GitHub 上创建仓库后，你可以通过 HTTPS 或 SSH 克隆到本地：

# HTTPS 克隆
git clone https://github.com/owner/repo.git

# SSH 克隆
git clone git@github.com:owner/repo.git

仓库中的 .gitignore 文件告诉 Git 哪些文件不应被追踪（如 node_modules/、.env），README.md 是项目的门面，LICENSE 定义了开源协议。

分支策略

常见的分支模型有：

GitHub Flow：最简单，适合持续部署的项目。main 分支始终可部署，所有新工作在特性分支上完成，通过 PR 合并。
Git Flow：更复杂，有 main、develop、feature、release、hotfix 等分支，适合有明确发布周期的项目。
Trunk-Based Development：所有人频繁地向 main（主干）提交，配合特性开关（Feature Flags）使用。

GitHub 官方推荐 GitHub Flow，因为它简单且适合大多数团队。

Commit 规范

遵循 Conventional Commits 规范能让提交历史清晰可读：

feat(auth): add OAuth2 login support
fix(api): handle null response from user endpoint
docs: update API documentation for v2
refactor(utils): extract date formatting to shared module
test(auth): add unit tests for login flow
chore(deps): upgrade Next.js to 15.1

Pull Request 工作流

PR 是 GitHub 协作的核心。一个典型的 PR 工作流：

从 main 创建特性分支
在特性分支上开发和提交
推送分支到 GitHub，创建 PR
团队成员审查代码，提出评论和建议
自动化检查（CI 测试、代码质量）通过
所有审查通过后，合并到 main
自动删除特性分支

PR 页面上可以设置保护规则：要求通过状态检查、要求审查批准、禁止强制推送等。

Issue 追踪

Issue 不仅仅是 Bug 报告。善用 Issue 模板可以标准化信息收集：

## <!-- .github/ISSUE_TEMPLATE/bug_report.md -->
 
name: Bug 报告
about: 报告一个 Bug 帮助我们改进
title: "[BUG] "
labels: bug
 
---
 
## 问题描述
 
## 复现步骤
 
## 期望行为
 
## 实际行为
 
## 环境信息

代码审查（Code Review）

好的代码审查关注几个方面：代码正确性、可读性、性能、安全性、测试覆盖。GitHub 的 PR 界面支持逐行评论、建议修改（suggestion），审查者可以 Approve、Request Changes 或简单评论。

Markdown 文档

GitHub Flavored Markdown（GFM）扩展了标准 Markdown，支持任务列表、表格、代码块语法高亮、自动链接、提及（@username）、Issue 引用（#123）等。

GitHub Pages

GitHub Pages 提供免费的静态网站托管。你可以直接从仓库的 gh-pages 分支或 main 分支的 /docs 目录发布网站。支持自定义域名和 HTTPS。

第二层：进阶用法

GitHub Actions CI/CD

Workflow 基本结构

name: Build and Deploy
on:
  push:
    branches: [main]
  pull_request:
    branches: [main]
 
permissions:
  contents: read
  pages: write
  id-token: write
 
jobs:
  build:
    runs-on: ubuntu-latest
    steps:
      - name: Checkout code
        uses: actions/checkout@v4
 
      - name: Setup Node.js
        uses: actions/setup-node@v4
        with:
          node-version: 20
          cache: "npm"
 
      - name: Install dependencies
        run: npm ci
 
      - name: Run tests
        run: npm test
 
      - name: Build project
        run: npm run build
 
      - name: Upload artifact
        uses: actions/upload-pages-artifact@v3
        with:
          path: ./dist
 
  deploy:
    needs: build
    runs-on: ubuntu-latest
    environment:
      name: github-pages
      url: ${{ steps.deployment.outputs.page_url }}
    steps:
      - name: Deploy to GitHub Pages
        id: deployment
        uses: actions/deploy-pages@v4

矩阵构建（Matrix Builds）

当你需要在多个 Node.js 版本或操作系统上测试时：

jobs:
  test:
    runs-on: ${{ matrix.os }}
    strategy:
      matrix:
        os: [ubuntu-latest, macos-latest, windows-latest]
        node-version: [18, 20, 22]
      fail-fast: false
    steps:
      - uses: actions/checkout@v4
      - uses: actions/setup-node@v4
        with:
          node-version: ${{ matrix.node-version }}
      - run: npm ci
      - run: npm test

Secrets 管理

敏感信息（API Key、部署密钥等）不应直接写在 Workflow 文件中。GitHub 提供了 Secrets 机制：

Repository Secrets：单个仓库级别
Environment Secrets：绑定到部署环境，可配置审批流程
Organization Secrets：组织级别，可共享给多个仓库

steps:
  - name: Deploy to production
    env:
      API_KEY: ${{ secrets.PRODUCTION_API_KEY }}
    run: ./deploy.sh

自定义 Action

你可以创建三种类型的 Action：

JavaScript Action：使用 Node.js，性能最好
Docker Container Action：环境隔离，灵活度最高
Composite Action：组合多个步骤，适合复用 Workflow 片段

# action.yml - Composite Action 示例
name: "Setup and Build"
description: "Install dependencies and build project"
inputs:
  node-version:
    description: "Node.js version"
    required: false
    default: "20"
runs:
  using: "composite"
  steps:
    - uses: actions/setup-node@v4
      with:
        node-version: ${{ inputs.node-version }}
    - run: npm ci
      shell: bash
    - run: npm run build
      shell: bash

Projects 看板

GitHub Projects 是内置的项目管理工具，支持看板视图、表格视图、路线图视图。可以关联 Issue 和 PR，设置自定义字段、自动化规则（如"Issue 关闭时自动移动到 Done 列"）。

Discussions

Discussions 为社区提供一个类似论坛的交流空间，与 Issue 不同，Discussions 适合开放式讨论、问答、公告和想法收集。可以设置分类（如 Q&A、Ideas、Announcements）。

Codespaces

Codespaces 提供云端开发环境，一键在浏览器中打开完整的 VS Code 编辑器，预装了项目所需的依赖和工具。通过 .devcontainer/devcontainer.json 配置：

{
  "image": "mcr.microsoft.com/devcontainers/universal:2",
  "features": {
    "ghcr.io/devcontainers/features/node:1": {
      "version": "20"
    }
  },
  "postCreateCommand": "npm install",
  "forwardPorts": [3000]
}

安全功能

Dependabot

自动检测依赖中的安全漏洞并创建修复 PR。通过 dependabot.yml 配置版本更新：

# .github/dependabot.yml
version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "weekly"
    open-pull-requests-limit: 10
  - package-ecosystem: "github-actions"
    directory: "/"
    schedule:
      interval: "monthly"

Code Scanning

使用 CodeQL 或第三方工具扫描代码中的安全漏洞，可在 PR 中直接显示警告。支持默认设置（零配置）和高级设置（自定义 Workflow）。

Secret Scanning

自动检测仓库中意外泄露的密钥和令牌（如 AWS Access Key、GitHub Token、私钥等），并发出警报。Push Protection 功能可以在你尝试推送包含密钥的代码时直接拦截。

GitHub CLI（gh）高级用法

GitHub CLI 让你在终端中完成几乎所有 GitHub 操作：

# 认证
gh auth login
 
# 创建和管理 PR
gh pr create --title "feat: add dark mode" --body "Implements dark mode toggle"
gh pr list --state open
gh pr checkout 123
gh pr merge 123 --squash
 
# 创建和管理 Issue
gh issue create --title "Bug: login fails on Safari" --body "Description..."
gh issue list --label bug --state open
gh issue close 456
 
# 查看 Actions 运行状态
gh run list
gh run view 789
gh run watch  # 实时监控当前运行
 
# 管理 Releases
gh release create v1.0.0 --title "Version 1.0.0" --notes "Release notes here"
 
# 在终端中使用 Copilot Chat
gh copilot suggest "how to find all .tsx files modified in the last week"
gh copilot explain "git rebase -i HEAD~5"
 
# 操作 Repositories
gh repo create my-new-repo --public --clone
gh repo view owner/repo
gh repo fork owner/repo --clone

第三层：深度解析

GitHub Copilot 深度使用

Agent 模式

Copilot Agent 是 Copilot 的高级形态，它能自主完成一个完整的开发任务。你描述需求，Agent 会分析代码库、制定计划、编写代码、运行测试、修复错误，最终提交一个 PR。

Agent 模式支持：

自主读取和修改多个文件
运行命令和测试
迭代修复编译或测试错误
调用 MCP（Model Context Protocol）服务器扩展能力
通过 Hooks 控制执行流程

Copilot Code Review

除了让人类审查代码，你也可以让 Copilot 自动审查 PR。Copilot 会检查潜在问题、建议改进，并直接在 PR 中留下评论。可以通过配置自定义审查指令。

自定义指令（Custom Instructions）

你可以通过三种级别的自定义指令来引导 Copilot 的行为：

个人指令（Personal Instructions）：适用于你所有的 Copilot 交互
仓库指令（Repository Instructions）：通过 .github/copilot-instructions.md 文件，为特定项目设定编码规范和偏好
组织指令（Organization Instructions）：组织级别的统一规范

<!-- .github/copilot-instructions.md -->
 
# 项目编码规范
 
- 使用 TypeScript strict 模式
- 优先使用函数式组件和 Hooks
- 测试使用 Vitest + React Testing Library
- CSS 使用 Tailwind CSS
- 提交信息遵循 Conventional Commits

Prompt 文件（Prompt Files）

Prompt 文件是可复用的提示模板，存放在 .github/prompts/ 目录下，团队成员可以共享使用：

## <!-- .github/prompts/refactor.prompt.md -->
 
name: Refactor Code
description: Analyze and refactor the selected code for readability and performance
 
---
 
请分析选中的代码并：
 
1. 找出可以改进的地方
2. 重构以提高可读性
3. 确保不改变外部行为
4. 添加必要的类型注解

大型开源项目协作模式

CONTRIBUTING.md

开源项目的贡献指南文件，定义了如何参与项目：代码规范、PR 流程、Issue 模板、开发环境搭建等。这是新贡献者的第一份参考文档。

CODEOWNERS

通过 CODEOWNERS 文件定义代码所有权，自动为 PR 分配审查者：

# CODEOWNERS
# 默认所有者
* @project-maintainers

# 前端代码由前端团队审查
/src/components/ @frontend-team

# 安全相关代码必须由安全团队审查
/src/auth/ @security-team

# 文档
/docs/ @docs-team

分支保护规则

为关键分支（如 main）设置保护：

要求 PR 审查通过才能合并
要求 CI 状态检查通过
要求签署提交（Signed Commits）
禁止强制推送和删除
要求分支是最新的

GitHub Actions 运行器架构

GitHub 提供三种运行器（Runner）：

GitHub-hosted Runner：GitHub 托管的虚拟机，提供 ubuntu-latest、macos-latest、windows-latest 等标准环境。每次运行都是全新的虚拟机，使用后销毁。
Larger Runner：提供更大配置（更多 CPU、内存）的 GitHub 托管运行器，适合资源密集型任务。
Self-hosted Runner：你自己的机器上运行的 Runner，适合需要特定硬件、内网访问或自定义环境的场景。支持通过 Actions Runner Controller（ARC）在 Kubernetes 上自动扩缩。

组织管理与企业功能

Organizations：团队共享仓库、统一管理权限和账单
Teams：细粒度的权限控制，可以按团队分配仓库访问权限和 Code Review 职责
Enterprise：跨多个组织的统一管理，SSO、审计日志、策略强制执行
GitHub Advanced Security（GHAS）：企业级安全功能，包括 Code Scanning、Secret Scanning、Dependabot 等

GitHub API 与集成开发

GitHub 提供两套 API：

REST API

# 使用 gh CLI 调用 REST API
gh api repos/owner/repo/pulls --method POST \
  -f title="New feature" \
  -f body="Description" \
  -f head="feature-branch" \
  -f base="main"
 
# 获取仓库信息
gh api repos/owner/repo
 
# 列出 PR
gh api repos/owner/repo/pulls --jq '.[].title'

GraphQL API

GraphQL API 允许你精确查询所需的数据，避免过度获取：

query {
  repository(owner: "owner", name: "repo") {
    pullRequests(first: 10, states: [OPEN]) {
      nodes {
        title
        author {
          login
        }
        url
        reviews(first: 5) {
          totalCount
        }
      }
    }
  }
}

Webhooks

Webhooks 让你在 GitHub 事件发生时自动通知外部服务。例如，当 PR 被创建时，可以触发 Slack 通知或启动外部 CI 系统。

Git 内部原理与 GitHub 的实现

Git 本质上是一个内容寻址文件系统。每次 Commit 生成一个 SHA-1 哈希，指向一个树对象（目录结构）和父提交。GitHub 在此基础上添加了：

Pull Request 元数据和关联
Issue 和 Comment 的存储和索引
权限管理和访问控制
Actions 工作流引擎
搜索和代码导航
Copilot 的代码索引和上下文分析

理解 Git 的内部原理有助于解决复杂的合并冲突、恢复丢失的提交（git reflog）、优化仓库大小等高级场景。

四、要点笔记（康奈尔笔记法）

康奈尔笔记法：左侧线索/关键词，右侧详细笔记，底部总结。

关键概念速查表

线索/关键词	详细笔记
Repository	项目仓库，包含所有文件和历史记录。分为 Public（公开）和 Private（私有）两种可见性。
Branch	独立的开发线。`main` 是默认分支，特性分支用于隔离开发。GitHub Flow 是推荐的分支策略。
Commit	代码快照，包含作者、时间、变更内容。遵循 Conventional Commits 规范可提高可读性。
Pull Request	代码合并请求，核心协作机制。包含 diff、评论、审查、CI 检查。合并方式：Merge、Squash、Rebase。
Issue	任务追踪和 Bug 报告。支持标签、指派、里程碑、模板。可通过 `keywords` 自动关联关闭（如 `Fixes #123`）。
GitHub Actions	CI/CD 自动化平台。Workflow 由 `on`（触发器）、`jobs`（作业）、`steps`（步骤）组成。YAML 语法定义在 `.github/workflows/` 目录。
GitHub Copilot	AI 编程助手。三种形态：代码补全（Inline Suggestions）、Chat（对话）、Agent（自主任务）。支持多种 AI 模型。
Dependabot	依赖管理机器人。自动检测安全漏洞和版本更新，创建修复 PR。通过 `dependabot.yml` 配置。
Secret Scanning	自动检测仓库中的密钥泄露。支持 Push Protection 在推送时拦截。覆盖 200+ 种密钥模式。
GitHub CLI（gh）	命令行工具。在终端中管理 PR、Issue、Actions、Releases。支持 Copilot Chat。可通过扩展增强功能。
Codespaces	云端开发环境。基于容器，通过 `.devcontainer/` 配置。支持 VS Code 和浏览器编辑器。
CODEOWNERS	代码所有权文件。定义哪些人/团队负责哪些代码路径。自动为 PR 分配审查者。
GitHub Pages	免费静态网站托管。支持从 `gh-pages` 分支或 `main/docs` 目录发布。支持自定义域名。
Projects	内置项目管理工具。支持看板、表格、路线图视图。可自动化工作流和关联 Issue/PR。

常用命令 / Workflow 语法速查

命令 / 语法	用途	示例
`gh pr create`	创建 Pull Request	`gh pr create --title "feat: add X" --body "description"`
`gh pr checkout`	检出 PR 到本地	`gh pr checkout 123`
`gh pr merge --squash`	Squash 合并 PR	`gh pr merge 123 --squash`
`gh issue create`	创建 Issue	`gh issue create --title "Bug: X" --body "details"`
`gh run list`	列出 Workflow 运行	`gh run list --limit 10`
`gh run watch`	实时监控运行	`gh run watch`
`gh repo clone`	克隆仓库	`gh repo clone owner/repo`
`gh release create`	创建 Release	`gh release create v1.0.0 --title "v1.0.0"`
`gh copilot suggest`	Copilot 建议	`gh copilot suggest "list large files"`
`on: push`	Workflow 触发器	`on: { push: { branches: [main] } }`
`on: pull_request`	PR 触发	`on: [pull_request]`
`on: schedule`	定时触发	`on: { schedule: [{ cron: '0 0 * * 1' }] }`
`strategy.matrix`	矩阵构建	`matrix: { node: [18, 20], os: [ubuntu, macos] }`
`${{ secrets.X }}`	引用 Secret	`API_KEY: ${{ secrets.API_KEY }}`
`${{ github.event_name }}`	获取触发事件名	`${{ github.event_name }}`
`uses: actions/checkout@v4`	检出仓库	标准第一步，拉取代码到 Runner
`needs: build`	Job 依赖	`deploy` Job 等待 `build` Job 完成
`if: github.ref == 'refs/heads/main'`	条件执行	仅在 main 分支触发时运行
`permissions:`	权限声明	`permissions: { contents: read, pages: write }`
`concurrency:`	并发控制	`concurrency: { group: deploy, cancel-in-progress: true }`
`artifact`	构建产物	`actions/upload-artifact@v4` 上传，`download-artifact@v4` 下载

本节总结

GitHub 的核心价值链：Git 版本控制 → Pull Request 协作 → Actions 自动化 → Copilot 智能化。掌握这四层递进的能力，就掌握了现代软件开发的完整工作流。从基础的 Commit 和 Branch，到 CI/CD 自动化，再到 AI 辅助编程，每一层都在上一层的基础上提升效率。

五、复习与实践（SQ3R · Recite & Review）

SQ3R 最后两步：复述核心要点，通过实践巩固理解。

核心要点回顾

Git 是基础：理解 Commit、Branch、Merge 的概念是使用 GitHub 的前提。分支策略推荐 GitHub Flow——简单、适合持续部署。
Pull Request 是核心：PR 不仅是合并代码，更是代码审查、讨论和自动化检查的载体。善用 PR 保护规则确保代码质量。
Actions 是自动化引擎：用 YAML 定义 Workflow，通过 on 触发，在 jobs 中编排步骤。善用矩阵构建、Secrets 和缓存提升效率。
Copilot 是效率倍增器：代码补全、Chat、Agent 三种形态覆盖不同场景。通过自定义指令和 Prompt 文件引导 Copilot 遵循项目规范。
安全是底线：Dependabot 管依赖、Code Scanning 找漏洞、Secret Scanning 防泄露。三者配合构建安全防线。
gh CLI 是效率工具：在终端中完成 PR、Issue、Actions 操作，减少上下文切换。

动手练习

练习 1：创建你的第一个 Workflow

在仓库中创建 .github/workflows/ci.yml
配置在 push 和 PR 时触发
添加 Node.js 安装、依赖安装、测试运行的步骤
推送代码，观察 Actions 页面的运行结果

练习 2：完整的 PR 工作流

从 main 创建特性分支 feature/hello
添加一个新文件并提交
推送分支，使用 gh pr create 创建 PR
在 PR 页面查看 diff、添加评论
审查通过后合并，使用 --squash 方式
确认特性分支被自动删除

练习 3：配置 Dependabot

创建 .github/dependabot.yml
配置 npm 和 GitHub Actions 的自动更新
观察 Dependabot 自动创建的 PR

练习 4：使用 Copilot Chat

在 IDE 中打开 Copilot Chat
尝试 "explain this function"、"write unit tests for this code"、"refactor for readability" 等提示
创建 .github/copilot-instructions.md，定义你的项目编码偏好
再次使用 Copilot，观察它是否遵循了自定义指令

练习 5：GitHub CLI 探索

安装 GitHub CLI：winget install GitHub.cli（Windows）或 brew install gh（macOS）
运行 gh auth login 完成认证
尝试 gh repo view、gh issue list、gh pr list 等命令
使用 gh copilot suggest 获取命令建议

常见陷阱

把大文件提交到 Git：使用 .gitignore 排除 node_modules/、.env、构建产物等。如果已提交，用 git rm --cached 移除。
在 PR 中混合多个不相关的变更：一个 PR 只做一件事，保持小而聚焦，便于审查和回滚。
Workflow 权限过大：默认 GITHUB_TOKEN 权限应为只读，按需提升。使用 permissions: 字段最小化权限。
Secret 硬编码在代码中：永远不要在代码中写入密钥。使用 GitHub Secrets，并通过 ${{ secrets.X }} 引用。
忽略 Dependabot 的 PR：安全更新应优先处理。可以配置自动合并低风险的依赖更新。
Copilot 生成的代码未审查：AI 生成的代码可能有 Bug 或安全隐患，务必审查后再合并。
滥用 force push：在公共分支上强制推送会覆盖他人的提交。在受保护分支上应禁止此操作。

一、概览与提问（SQ3R · Survey & Question）

SQ3R 第一步：快速浏览全貌，提出关键问题。

什么是 GitHub？（不只是代码托管）

GitHub 的产品体系涵盖六大领域：

协作编码：Repositories、Pull Requests、Codespaces、Discussions
CI/CD 与 DevOps：GitHub Actions、GitHub Packages、GitHub Pages
安全与代码质量：Dependabot、Code Scanning、Secret Scanning、CodeQL
项目管理：Issues、Projects、GitHub CLI
AI 辅助开发：GitHub Copilot（代码补全、Chat、Agent 模式、代码审查）
企业与团队：Organizations、Enterprise、Teams

核心问题

GitHub 和 Git 是什么关系？——Git 是底层的分布式版本控制系统，GitHub 是基于 Git 构建的云端协作平台。你可以用 Git 而不用 GitHub，但很难高效协作。
为什么要用 GitHub 而不是其他平台？——GitHub 拥有最大的开发者社区和开源生态，与主流工具链（IDE、CI/CD、项目管理）深度集成，且 GitHub Copilot 和 GitHub Actions 是目前同类产品中最成熟的选择。
GitHub Actions 能做什么？——自动化构建、测试、部署、发布、项目管理等几乎所有软件开发生命周期中的重复性任务。
GitHub Copilot 和 ChatGPT 有什么区别？——Copilot 是深度集成在开发环境中的 AI 工具，能理解你的代码上下文、仓库结构，提供实时的代码补全和建议，而不仅是一个聊天界面。

技术全景图

GitHub 的核心架构可以分为四层：

基础层：Git 版本控制——Repository、Branch、Commit、Merge、Rebase，这些是所有上层功能的基础。理解 Git 的快照模型和分支策略，是使用 GitHub 的前提。

协作层：团队开发——Pull Request 工作流、Fork 模型、代码审查（Code Review）、Issue 追踪、Projects 看板、Discussions 讨论、CODEOWNERS 代码所有权。

自动化层：CI/CD 与安全——GitHub Actions 工作流、Dependabot 依赖更新、Code Scanning 漏洞扫描、Secret Scanning 密钥检测、GitHub Packages 包管理。

智能化层：AI 辅助——GitHub Copilot 代码补全、Copilot Chat 对话式编程、Copilot Agent 自主任务执行、Copilot Code Review AI 代码审查、Copilot CLI 命令行助手。

二、用最简单的话说清楚（费曼学习法）

费曼学习法核心理念：如果你不能用简单的语言解释一件事，说明你还没有真正理解它。

核心概念讲解

Repository（仓库）

# 创建新仓库
git init my-project
cd my-project
git remote add origin https://github.com/username/my-project.git

# 或直接在 GitHub 上创建，然后克隆到本地
git clone https://github.com/username/my-project.git

Branch（分支）

# 创建并切换到新分支
git checkout -b feature/new-login

# 在新分支上工作...
git add .
git commit -m "feat: add new login page"

# 完成后切换回 main 并合并
git checkout main
git merge feature/new-login

Commit（提交）

git add src/login.tsx
git commit -m "feat: implement OAuth2 login with GitHub provider"

Pull Request（PR）

PR 不仅仅是代码合并——它是一轮完整的对话：可以在具体代码行上评论、建议修改、运行自动化测试、确认所有检查通过后才能合并。

Issue（议题）

GitHub Actions

name: CI
on:
  push:
    branches: [main]
  pull_request:
    branches: [main]
jobs:
  test:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
      - uses: actions/setup-node@v4
        with:
          node-version: 20
      - run: npm ci
      - run: npm test

GitHub Copilot

Dependabot

Dependabot 是你项目的"安全管家"。它会自动监控你的依赖包，当发现安全漏洞时创建 PR 提醒你升级，也能按计划定期检查依赖更新。

类比与比喻

GitHub 像 Google Docs，但为代码服务——多人同时编辑、历史版本追踪、评论和审查。
Branch 像书签——你可以在书的不同位置放多个书签，随时跳转。
Pull Request 像论文的同行评审——提交前让同行审核，提出修改意见，通过后才能发表。
GitHub Actions 像智能家电的自动化规则——"如果我推了代码，就自动开灯（跑测试）、锁门（部署）"。
Copilot 像一个经验丰富的搭档坐在你旁边——你打出函数名，它补全函数体；你描述需求，它生成代码。

常见误解澄清

误解：GitHub 就是 Git——事实：Git 是版本控制工具，GitHub 是基于 Git 的协作平台。还有 GitLab、Bitbucket 等替代品。
误解：GitHub 只能托管代码——事实：GitHub 支持 Issues（项目管理）、Discussions（社区讨论）、GitHub Pages（静态网站托管）、Actions（自动化）等，是一个完整的开发平台。
误解：开源项目才能用 GitHub——事实：GitHub 有免费的私有仓库，你可以把私人项目放在上面。
误解：Copilot 会取代程序员——事实：Copilot 是辅助工具，能提高效率，但仍需要人来审查和决策。它能生成代码，但不能理解业务需求。
误解：Actions 只能做 CI/CD——事实：Actions 是通用的自动化平台，可以用来定时创建 Issue、自动打标签、管理 PR、调用任何 API 等。

三、锥形深入（西蒙学习法）

西蒙学习法核心理念：集中精力，在有限时间内从基础到高级逐层深入。

第一层：核心基础

仓库管理

一切从仓库开始。在 GitHub 上创建仓库后，你可以通过 HTTPS 或 SSH 克隆到本地：

# HTTPS 克隆
git clone https://github.com/owner/repo.git

# SSH 克隆
git clone git@github.com:owner/repo.git

仓库中的 .gitignore 文件告诉 Git 哪些文件不应被追踪（如 node_modules/、.env），README.md 是项目的门面，LICENSE 定义了开源协议。

分支策略

常见的分支模型有：

GitHub Flow：最简单，适合持续部署的项目。main 分支始终可部署，所有新工作在特性分支上完成，通过 PR 合并。
Git Flow：更复杂，有 main、develop、feature、release、hotfix 等分支，适合有明确发布周期的项目。
Trunk-Based Development：所有人频繁地向 main（主干）提交，配合特性开关（Feature Flags）使用。

GitHub 官方推荐 GitHub Flow，因为它简单且适合大多数团队。

Commit 规范

遵循 Conventional Commits 规范能让提交历史清晰可读：

feat(auth): add OAuth2 login support
fix(api): handle null response from user endpoint
docs: update API documentation for v2
refactor(utils): extract date formatting to shared module
test(auth): add unit tests for login flow
chore(deps): upgrade Next.js to 15.1

Pull Request 工作流

PR 是 GitHub 协作的核心。一个典型的 PR 工作流：

从 main 创建特性分支
在特性分支上开发和提交
推送分支到 GitHub，创建 PR
团队成员审查代码，提出评论和建议
自动化检查（CI 测试、代码质量）通过
所有审查通过后，合并到 main
自动删除特性分支

PR 页面上可以设置保护规则：要求通过状态检查、要求审查批准、禁止强制推送等。

Issue 追踪

Issue 不仅仅是 Bug 报告。善用 Issue 模板可以标准化信息收集：

## <!-- .github/ISSUE_TEMPLATE/bug_report.md -->
 
name: Bug 报告
about: 报告一个 Bug 帮助我们改进
title: "[BUG] "
labels: bug
 
---
 
## 问题描述
 
## 复现步骤
 
## 期望行为
 
## 实际行为
 
## 环境信息

代码审查（Code Review）

Markdown 文档

GitHub Flavored Markdown（GFM）扩展了标准 Markdown，支持任务列表、表格、代码块语法高亮、自动链接、提及（@username）、Issue 引用（#123）等。

GitHub Pages

GitHub Pages 提供免费的静态网站托管。你可以直接从仓库的 gh-pages 分支或 main 分支的 /docs 目录发布网站。支持自定义域名和 HTTPS。

第二层：进阶用法

GitHub Actions CI/CD

Workflow 基本结构

name: Build and Deploy
on:
  push:
    branches: [main]
  pull_request:
    branches: [main]
 
permissions:
  contents: read
  pages: write
  id-token: write
 
jobs:
  build:
    runs-on: ubuntu-latest
    steps:
      - name: Checkout code
        uses: actions/checkout@v4
 
      - name: Setup Node.js
        uses: actions/setup-node@v4
        with:
          node-version: 20
          cache: "npm"
 
      - name: Install dependencies
        run: npm ci
 
      - name: Run tests
        run: npm test
 
      - name: Build project
        run: npm run build
 
      - name: Upload artifact
        uses: actions/upload-pages-artifact@v3
        with:
          path: ./dist
 
  deploy:
    needs: build
    runs-on: ubuntu-latest
    environment:
      name: github-pages
      url: ${{ steps.deployment.outputs.page_url }}
    steps:
      - name: Deploy to GitHub Pages
        id: deployment
        uses: actions/deploy-pages@v4

矩阵构建（Matrix Builds）

当你需要在多个 Node.js 版本或操作系统上测试时：

jobs:
  test:
    runs-on: ${{ matrix.os }}
    strategy:
      matrix:
        os: [ubuntu-latest, macos-latest, windows-latest]
        node-version: [18, 20, 22]
      fail-fast: false
    steps:
      - uses: actions/checkout@v4
      - uses: actions/setup-node@v4
        with:
          node-version: ${{ matrix.node-version }}
      - run: npm ci
      - run: npm test

Secrets 管理

敏感信息（API Key、部署密钥等）不应直接写在 Workflow 文件中。GitHub 提供了 Secrets 机制：

Repository Secrets：单个仓库级别
Environment Secrets：绑定到部署环境，可配置审批流程
Organization Secrets：组织级别，可共享给多个仓库

steps:
  - name: Deploy to production
    env:
      API_KEY: ${{ secrets.PRODUCTION_API_KEY }}
    run: ./deploy.sh

自定义 Action

你可以创建三种类型的 Action：

JavaScript Action：使用 Node.js，性能最好
Docker Container Action：环境隔离，灵活度最高
Composite Action：组合多个步骤，适合复用 Workflow 片段

# action.yml - Composite Action 示例
name: "Setup and Build"
description: "Install dependencies and build project"
inputs:
  node-version:
    description: "Node.js version"
    required: false
    default: "20"
runs:
  using: "composite"
  steps:
    - uses: actions/setup-node@v4
      with:
        node-version: ${{ inputs.node-version }}
    - run: npm ci
      shell: bash
    - run: npm run build
      shell: bash

Projects 看板

Discussions

Codespaces

Codespaces 提供云端开发环境，一键在浏览器中打开完整的 VS Code 编辑器，预装了项目所需的依赖和工具。通过 .devcontainer/devcontainer.json 配置：

{
  "image": "mcr.microsoft.com/devcontainers/universal:2",
  "features": {
    "ghcr.io/devcontainers/features/node:1": {
      "version": "20"
    }
  },
  "postCreateCommand": "npm install",
  "forwardPorts": [3000]
}

安全功能

Dependabot

自动检测依赖中的安全漏洞并创建修复 PR。通过 dependabot.yml 配置版本更新：

# .github/dependabot.yml
version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "weekly"
    open-pull-requests-limit: 10
  - package-ecosystem: "github-actions"
    directory: "/"
    schedule:
      interval: "monthly"

Code Scanning

使用 CodeQL 或第三方工具扫描代码中的安全漏洞，可在 PR 中直接显示警告。支持默认设置（零配置）和高级设置（自定义 Workflow）。

Secret Scanning

GitHub CLI（gh）高级用法

GitHub CLI 让你在终端中完成几乎所有 GitHub 操作：

# 认证
gh auth login
 
# 创建和管理 PR
gh pr create --title "feat: add dark mode" --body "Implements dark mode toggle"
gh pr list --state open
gh pr checkout 123
gh pr merge 123 --squash
 
# 创建和管理 Issue
gh issue create --title "Bug: login fails on Safari" --body "Description..."
gh issue list --label bug --state open
gh issue close 456
 
# 查看 Actions 运行状态
gh run list
gh run view 789
gh run watch  # 实时监控当前运行
 
# 管理 Releases
gh release create v1.0.0 --title "Version 1.0.0" --notes "Release notes here"
 
# 在终端中使用 Copilot Chat
gh copilot suggest "how to find all .tsx files modified in the last week"
gh copilot explain "git rebase -i HEAD~5"
 
# 操作 Repositories
gh repo create my-new-repo --public --clone
gh repo view owner/repo
gh repo fork owner/repo --clone

第三层：深度解析

GitHub Copilot 深度使用

Agent 模式

Agent 模式支持：

自主读取和修改多个文件
运行命令和测试
迭代修复编译或测试错误
调用 MCP（Model Context Protocol）服务器扩展能力
通过 Hooks 控制执行流程

Copilot Code Review

除了让人类审查代码，你也可以让 Copilot 自动审查 PR。Copilot 会检查潜在问题、建议改进，并直接在 PR 中留下评论。可以通过配置自定义审查指令。

自定义指令（Custom Instructions）

你可以通过三种级别的自定义指令来引导 Copilot 的行为：

个人指令（Personal Instructions）：适用于你所有的 Copilot 交互
仓库指令（Repository Instructions）：通过 .github/copilot-instructions.md 文件，为特定项目设定编码规范和偏好
组织指令（Organization Instructions）：组织级别的统一规范

<!-- .github/copilot-instructions.md -->
 
# 项目编码规范
 
- 使用 TypeScript strict 模式
- 优先使用函数式组件和 Hooks
- 测试使用 Vitest + React Testing Library
- CSS 使用 Tailwind CSS
- 提交信息遵循 Conventional Commits

Prompt 文件（Prompt Files）

Prompt 文件是可复用的提示模板，存放在 .github/prompts/ 目录下，团队成员可以共享使用：

## <!-- .github/prompts/refactor.prompt.md -->
 
name: Refactor Code
description: Analyze and refactor the selected code for readability and performance
 
---
 
请分析选中的代码并：
 
1. 找出可以改进的地方
2. 重构以提高可读性
3. 确保不改变外部行为
4. 添加必要的类型注解

大型开源项目协作模式

CONTRIBUTING.md

开源项目的贡献指南文件，定义了如何参与项目：代码规范、PR 流程、Issue 模板、开发环境搭建等。这是新贡献者的第一份参考文档。

CODEOWNERS

通过 CODEOWNERS 文件定义代码所有权，自动为 PR 分配审查者：

# CODEOWNERS
# 默认所有者
* @project-maintainers

# 前端代码由前端团队审查
/src/components/ @frontend-team

# 安全相关代码必须由安全团队审查
/src/auth/ @security-team

# 文档
/docs/ @docs-team

分支保护规则

为关键分支（如 main）设置保护：

要求 PR 审查通过才能合并
要求 CI 状态检查通过
要求签署提交（Signed Commits）
禁止强制推送和删除
要求分支是最新的

GitHub Actions 运行器架构

GitHub 提供三种运行器（Runner）：

GitHub-hosted Runner：GitHub 托管的虚拟机，提供 ubuntu-latest、macos-latest、windows-latest 等标准环境。每次运行都是全新的虚拟机，使用后销毁。
Larger Runner：提供更大配置（更多 CPU、内存）的 GitHub 托管运行器，适合资源密集型任务。
Self-hosted Runner：你自己的机器上运行的 Runner，适合需要特定硬件、内网访问或自定义环境的场景。支持通过 Actions Runner Controller（ARC）在 Kubernetes 上自动扩缩。

组织管理与企业功能

Organizations：团队共享仓库、统一管理权限和账单
Teams：细粒度的权限控制，可以按团队分配仓库访问权限和 Code Review 职责
Enterprise：跨多个组织的统一管理，SSO、审计日志、策略强制执行
GitHub Advanced Security（GHAS）：企业级安全功能，包括 Code Scanning、Secret Scanning、Dependabot 等

GitHub API 与集成开发

GitHub 提供两套 API：

REST API

# 使用 gh CLI 调用 REST API
gh api repos/owner/repo/pulls --method POST \
  -f title="New feature" \
  -f body="Description" \
  -f head="feature-branch" \
  -f base="main"
 
# 获取仓库信息
gh api repos/owner/repo
 
# 列出 PR
gh api repos/owner/repo/pulls --jq '.[].title'

GraphQL API

GraphQL API 允许你精确查询所需的数据，避免过度获取：

query {
  repository(owner: "owner", name: "repo") {
    pullRequests(first: 10, states: [OPEN]) {
      nodes {
        title
        author {
          login
        }
        url
        reviews(first: 5) {
          totalCount
        }
      }
    }
  }
}

Webhooks

Webhooks 让你在 GitHub 事件发生时自动通知外部服务。例如，当 PR 被创建时，可以触发 Slack 通知或启动外部 CI 系统。

Git 内部原理与 GitHub 的实现

Git 本质上是一个内容寻址文件系统。每次 Commit 生成一个 SHA-1 哈希，指向一个树对象（目录结构）和父提交。GitHub 在此基础上添加了：

Pull Request 元数据和关联
Issue 和 Comment 的存储和索引
权限管理和访问控制
Actions 工作流引擎
搜索和代码导航
Copilot 的代码索引和上下文分析

理解 Git 的内部原理有助于解决复杂的合并冲突、恢复丢失的提交（git reflog）、优化仓库大小等高级场景。

四、要点笔记（康奈尔笔记法）

康奈尔笔记法：左侧线索/关键词，右侧详细笔记，底部总结。

关键概念速查表

线索/关键词	详细笔记
Repository	项目仓库，包含所有文件和历史记录。分为 Public（公开）和 Private（私有）两种可见性。
Branch	独立的开发线。`main` 是默认分支，特性分支用于隔离开发。GitHub Flow 是推荐的分支策略。
Commit	代码快照，包含作者、时间、变更内容。遵循 Conventional Commits 规范可提高可读性。
Pull Request	代码合并请求，核心协作机制。包含 diff、评论、审查、CI 检查。合并方式：Merge、Squash、Rebase。
Issue	任务追踪和 Bug 报告。支持标签、指派、里程碑、模板。可通过 `keywords` 自动关联关闭（如 `Fixes #123`）。
GitHub Actions	CI/CD 自动化平台。Workflow 由 `on`（触发器）、`jobs`（作业）、`steps`（步骤）组成。YAML 语法定义在 `.github/workflows/` 目录。
GitHub Copilot	AI 编程助手。三种形态：代码补全（Inline Suggestions）、Chat（对话）、Agent（自主任务）。支持多种 AI 模型。
Dependabot	依赖管理机器人。自动检测安全漏洞和版本更新，创建修复 PR。通过 `dependabot.yml` 配置。
Secret Scanning	自动检测仓库中的密钥泄露。支持 Push Protection 在推送时拦截。覆盖 200+ 种密钥模式。
GitHub CLI（gh）	命令行工具。在终端中管理 PR、Issue、Actions、Releases。支持 Copilot Chat。可通过扩展增强功能。
Codespaces	云端开发环境。基于容器，通过 `.devcontainer/` 配置。支持 VS Code 和浏览器编辑器。
CODEOWNERS	代码所有权文件。定义哪些人/团队负责哪些代码路径。自动为 PR 分配审查者。
GitHub Pages	免费静态网站托管。支持从 `gh-pages` 分支或 `main/docs` 目录发布。支持自定义域名。
Projects	内置项目管理工具。支持看板、表格、路线图视图。可自动化工作流和关联 Issue/PR。

常用命令 / Workflow 语法速查

命令 / 语法	用途	示例
`gh pr create`	创建 Pull Request	`gh pr create --title "feat: add X" --body "description"`
`gh pr checkout`	检出 PR 到本地	`gh pr checkout 123`
`gh pr merge --squash`	Squash 合并 PR	`gh pr merge 123 --squash`
`gh issue create`	创建 Issue	`gh issue create --title "Bug: X" --body "details"`
`gh run list`	列出 Workflow 运行	`gh run list --limit 10`
`gh run watch`	实时监控运行	`gh run watch`
`gh repo clone`	克隆仓库	`gh repo clone owner/repo`
`gh release create`	创建 Release	`gh release create v1.0.0 --title "v1.0.0"`
`gh copilot suggest`	Copilot 建议	`gh copilot suggest "list large files"`
`on: push`	Workflow 触发器	`on: { push: { branches: [main] } }`
`on: pull_request`	PR 触发	`on: [pull_request]`
`on: schedule`	定时触发	`on: { schedule: [{ cron: '0 0 * * 1' }] }`
`strategy.matrix`	矩阵构建	`matrix: { node: [18, 20], os: [ubuntu, macos] }`
`${{ secrets.X }}`	引用 Secret	`API_KEY: ${{ secrets.API_KEY }}`
`${{ github.event_name }}`	获取触发事件名	`${{ github.event_name }}`
`uses: actions/checkout@v4`	检出仓库	标准第一步，拉取代码到 Runner
`needs: build`	Job 依赖	`deploy` Job 等待 `build` Job 完成
`if: github.ref == 'refs/heads/main'`	条件执行	仅在 main 分支触发时运行
`permissions:`	权限声明	`permissions: { contents: read, pages: write }`
`concurrency:`	并发控制	`concurrency: { group: deploy, cancel-in-progress: true }`
`artifact`	构建产物	`actions/upload-artifact@v4` 上传，`download-artifact@v4` 下载

本节总结

五、复习与实践（SQ3R · Recite & Review）

SQ3R 最后两步：复述核心要点，通过实践巩固理解。

核心要点回顾

Git 是基础：理解 Commit、Branch、Merge 的概念是使用 GitHub 的前提。分支策略推荐 GitHub Flow——简单、适合持续部署。
Pull Request 是核心：PR 不仅是合并代码，更是代码审查、讨论和自动化检查的载体。善用 PR 保护规则确保代码质量。
Actions 是自动化引擎：用 YAML 定义 Workflow，通过 on 触发，在 jobs 中编排步骤。善用矩阵构建、Secrets 和缓存提升效率。
Copilot 是效率倍增器：代码补全、Chat、Agent 三种形态覆盖不同场景。通过自定义指令和 Prompt 文件引导 Copilot 遵循项目规范。
安全是底线：Dependabot 管依赖、Code Scanning 找漏洞、Secret Scanning 防泄露。三者配合构建安全防线。
gh CLI 是效率工具：在终端中完成 PR、Issue、Actions 操作，减少上下文切换。

动手练习

练习 1：创建你的第一个 Workflow

在仓库中创建 .github/workflows/ci.yml
配置在 push 和 PR 时触发
添加 Node.js 安装、依赖安装、测试运行的步骤
推送代码，观察 Actions 页面的运行结果

练习 2：完整的 PR 工作流

从 main 创建特性分支 feature/hello
添加一个新文件并提交
推送分支，使用 gh pr create 创建 PR
在 PR 页面查看 diff、添加评论
审查通过后合并，使用 --squash 方式
确认特性分支被自动删除

练习 3：配置 Dependabot

创建 .github/dependabot.yml
配置 npm 和 GitHub Actions 的自动更新
观察 Dependabot 自动创建的 PR

练习 4：使用 Copilot Chat

在 IDE 中打开 Copilot Chat
尝试 "explain this function"、"write unit tests for this code"、"refactor for readability" 等提示
创建 .github/copilot-instructions.md，定义你的项目编码偏好
再次使用 Copilot，观察它是否遵循了自定义指令

练习 5：GitHub CLI 探索

安装 GitHub CLI：winget install GitHub.cli（Windows）或 brew install gh（macOS）
运行 gh auth login 完成认证
尝试 gh repo view、gh issue list、gh pr list 等命令
使用 gh copilot suggest 获取命令建议

常见陷阱

把大文件提交到 Git：使用 .gitignore 排除 node_modules/、.env、构建产物等。如果已提交，用 git rm --cached 移除。
在 PR 中混合多个不相关的变更：一个 PR 只做一件事，保持小而聚焦，便于审查和回滚。
Workflow 权限过大：默认 GITHUB_TOKEN 权限应为只读，按需提升。使用 permissions: 字段最小化权限。
Secret 硬编码在代码中：永远不要在代码中写入密钥。使用 GitHub Secrets，并通过 ${{ secrets.X }} 引用。
忽略 Dependabot 的 PR：安全更新应优先处理。可以配置自动合并低风险的依赖更新。
Copilot 生成的代码未审查：AI 生成的代码可能有 Bug 或安全隐患，务必审查后再合并。
滥用 force push：在公共分支上强制推送会覆盖他人的提交。在受保护分支上应禁止此操作。

GitHub 全指南：从入门到精通

一、概览与提问（SQ3R · Survey & Question）

什么是 GitHub？（不只是代码托管）

核心问题

技术全景图

二、用最简单的话说清楚（费曼学习法）

核心概念讲解

类比与比喻

常见误解澄清

三、锥形深入（西蒙学习法）

第一层：核心基础

仓库管理

分支策略

Commit 规范

Pull Request 工作流

Issue 追踪

代码审查（Code Review）

Markdown 文档

GitHub Pages

第二层：进阶用法

GitHub Actions CI/CD

Projects 看板

Discussions

Codespaces

安全功能

GitHub CLI（gh）高级用法

第三层：深度解析

GitHub Copilot 深度使用

大型开源项目协作模式

GitHub Actions 运行器架构

组织管理与企业功能

GitHub API 与集成开发

Git 内部原理与 GitHub 的实现

四、要点笔记（康奈尔笔记法）

关键概念速查表

常用命令 / Workflow 语法速查

本节总结

五、复习与实践（SQ3R · Recite & Review）

核心要点回顾

动手练习

常见陷阱

延伸阅读

GitHub 全指南：从入门到精通

一、概览与提问（SQ3R · Survey & Question）

什么是 GitHub？（不只是代码托管）

核心问题

技术全景图

二、用最简单的话说清楚（费曼学习法）

核心概念讲解

类比与比喻

常见误解澄清

三、锥形深入（西蒙学习法）

第一层：核心基础

仓库管理

分支策略

Commit 规范

Pull Request 工作流

Issue 追踪

代码审查（Code Review）

Markdown 文档

GitHub Pages

第二层：进阶用法

GitHub Actions CI/CD

Projects 看板

Discussions

Codespaces

安全功能

GitHub CLI（gh）高级用法

第三层：深度解析

GitHub Copilot 深度使用

大型开源项目协作模式

GitHub Actions 运行器架构

组织管理与企业功能

GitHub API 与集成开发

Git 内部原理与 GitHub 的实现

四、要点笔记（康奈尔笔记法）

关键概念速查表

常用命令 / Workflow 语法速查

本节总结

五、复习与实践（SQ3R · Recite & Review）