Strona główna DevOps i CICD Od zera do CI: pipeline dla aplikacji Node.

Dłoń trzymająca naklejkę Jenkins na rozmytym tle na zewnątrz — Źródło: Pexels | Autor: RealToughCandy.com

DevOps i CICD

Od zera do CI: pipeline dla aplikacji Node.

Przez

Andrzej Kowalczyk

8 lutego, 2026

Rate this post

Nawigacja:

Po co Node’owi pipeline CI i co realnie daje w małym zespole

Pipeline CI dla aplikacji Node.js to po prostu zautomatyzowana ścieżka: od commita w repozytorium do informacji, czy kod da się zbudować, przetestować i bezpiecznie włączyć do głównej gałęzi. Zamiast ręcznie odpalać polecenia typu npm test, npm run lint czy npm run build, wszystko uruchamia się samo przy każdym pushu lub pull requeście.

Różnica między „odpalam testy u siebie” a prawdziwym CI jest zasadnicza. Po pierwsze, CI wykonuje te same kroki na czystym środowisku za każdym razem, więc wychwytuje błędy wynikające z brakujących zależności, innych wersji Node lub „magicznych” lokalnych ustawień. Po drugie, pipeline CI jest powtarzalny i transparentny: każdy w zespole widzi, co zostało uruchomione, ile trwało i gdzie poległo.

Automatyzacja daje też wymierny efekt finansowy. Każdy błąd złapany na etapie CI jest wielokrotnie tańszy od tego, który trafi na produkcję. Zamiast debugować krytyczne API u klienta o 23:00, dostajesz czerwony status pipeline’u kilka minut po pushu i wiesz dokładnie, który commit zepsuł build. W małych projektach, gdzie nie ma dedykowanego QA ani SRE, dobrze ustawiony pipeline CI potrafi zastąpić kawał ręcznej pracy testowej.

Przy małym zespole lub jednoosobowej działalności nie chodzi o to, żeby zbudować „enterprise’owy” potwór z dziesiątkami jobów. Sensowny minimalny zakres CI dla typowej aplikacji Node obejmuje:

instalację zależności na czysto,
linting i formatowanie kodu (lub przynajmniej linting),
testy jednostkowe,
opcjonalny build (dla frontendu, bundlowanego backendu czy monorepo).

Taki zestaw już wyłapuje literówki w importach, błędy składni, oczywiste regresje w logice oraz problemy z konfiguracją środowiska. Rozbudowane testy e2e, generowanie raportów coverage czy statyczna analiza bezpieczeństwa można dodać później, kiedy projekt zacznie rosnąć.

Freelancerzy często uważają, że „CI to luksus dla dużych firm”. W praktyce to narzędzie, które oszczędza czas i chroni przed wstydliwymi bugami przy demach dla klienta. Darmowe limity GitHub Actions czy GitLab CI zwykle spokojnie wystarczają na małe projekty. Prosty pipeline CI dla Node można skonfigurować w godzinę, a odzyskać ten czas już po kilku tygodniach pracy, unikając ręcznego odpalania tych samych komend na każdym branchu.

Fundamenty: jak wygląda typowy przepływ pracy z CI dla Node

Standardowy przepływ: od commita do feedbacku

Najprostszy, zdrowy przepływ pracy z pipeline CI dla Node.js wygląda tak:

Developer tworzy branch z nową funkcją lub poprawką.
Wprowadza zmiany, uruchamia lokalnie szybkie testy / lint (opcjonalnie).
Wykonuje git commit i git push na zdalne repo.
CI wykrywa nowy commit i odpala pipeline.
Pipeline buduje i testuje aplikację Node.
Na pull requeście pojawia się status: zielony (OK) lub czerwony (błąd).
Po akceptacji PR i mergu na główną gałąź pipeline uruchamia się ponownie.

Kluczem jest szybka informacja zwrotna. Jeśli pipeline trwa 3–5 minut i odpala się przy każdym PR, developer jeszcze pamięta, co zmieniał i może szybko poprawić błąd. Jeśli trwa 30 minut i odpala się raz dziennie, feedback jest spóźniony i koszt poprawek rośnie.

Strategia branchy a zachowanie pipeline’u

CI mocno wiąże się ze strategią pracy na gałęziach. W prostym, budżetowym podejściu wystarczy:

main – gałąź produkcyjna, zawsze stabilna,
develop – opcjonalnie, dla większych zespołów (środowisko integracyjne),
feature/* – krótkie gałęzie z konkretną funkcją lub poprawką.

Najbardziej opłacalny podział zadań dla pipeline’u CI to:

na PR z feature → develop/main: pełny zestaw testów jednostkowych, lint, type-check, build,
na push do feature/: minimalny zestaw, np. lint + szybkie testy, aby łapać błędy jeszcze przed PR,
na push do main (i ewentualnie develop): pełny pipeline plus ewentualne kroki przygotowujące pod CD (np. budowa obrazu Dockera).

Dzięki temu nie przepalasz minut CI na każde „WIP” w gałęzi feature pełnym zestawem ciężkich testów e2e, ale nie wpuszczasz też do głównej linii kodu, który nawet się nie buduje.

Co powinno dziać się na PR, a co na gałęzi głównej

Najważniejsze sprawdzenia powinny blokować merge do głównej gałęzi. Typowy, rozsądny zestaw „required checks” to:

build aplikacji Node zakończony sukcesem,
testy jednostkowe zielone,
lint bez błędów (warningi można na początek zaakceptować),
opcjonalnie type-check (jeśli używasz TypeScript).

Na gałęzi głównej można dodać cięższe rzeczy: testy e2e, generowanie raportów coverage, skany bezpieczeństwa. Dzięki temu każdy PR jest szybko sprawdzany, a pełniejszy „przegląd techniczny” wykonywany jest rzadziej, ale i tak przed każdym wdrożeniem.

Wybór narzędzia CI a koszty i prostota

Dla Node.js najczęściej używane, tanie (często darmowe) rozwiązania to:

Platforma CI	Mocne strony	Dla kogo
GitHub Actions	Świetna integracja z GitHubem, dużo gotowych akcji, sensowne darmowe limity	Projekty hostowane na GitHub, małe i średnie zespoły
GitLab CI	CI wbudowane w GitLab, łatwa konfiguracja, własne i współdzielone runnery	Zespoły używające GitLab (self-hosted lub SaaS)
Bitbucket Pipelines	Prosty YAML, integracja z Bitbucket, pipeline’y oparte na Dockerze	Zespoły na Bitbucket, mniejsze projekty

Jeśli repo leży na GitHubie, najprościej zacząć od GitHub Actions. Nie trzeba stawiać own-runnerów ani dodatkowej infrastruktury. Dla większości małych projektów darmowe minuty spokojnie wystarczą, zwłaszcza przy rozsądnym cache’owaniu zależności.

Kiedy własny runner ma sens, a kiedy to zbędny luksus

Własny runner (np. na serwerze w chmurze lub fizycznej maszynie) daje większą kontrolę nad środowiskiem, ale oznacza dodatkowy koszt utrzymania. Trzeba dbać o aktualizacje, miejsce na dysku, bezpieczeństwo i monitoring.

Ma to sens, gdy:

pipeline wymaga specjalnego środowiska (np. specyficzne biblioteki systemowe),
przekraczasz darmowe limity CI i bardziej opłaca się stała maszyna,
potrzebujesz bardzo szybkich buildów i wydajniejszego sprzętu niż oferuje darmowy SaaS.

W większości małych projektów Node to tylko niepotrzebna komplikacja. Lepiej wykorzystać gotową infrastrukturę dostawcy repozytorium i skupić się na optymalizacji samego pipeline’u: dobrym cache, sensownej strategii branchy i ograniczeniu zakresu testów do tego, co naprawdę potrzebne.

Nowa płyta CD w plastikowym pudełku na jasnym tle — Źródło: Pexels | Autor: 500photos.com

Przygotowanie projektu Node do CI: struktura, skrypty i zależności

Uporządkowany package.json jako punkt wyjścia

Każdy pipeline CI dla Node.js opiera się na package.json. Im bardziej uporządkowany, tym prostszy i tańszy w utrzymaniu pipeline. Kluczowe elementy:

scripts – zdefiniowane komendy, które CI będzie uruchamiać,
engines – określona wersja Node, aby lokalne środowisko było spójne z CI,
dependencies vs devDependencies – wyraźny podział, co jest potrzebne w runtime, a co tylko przy buildzie i testach,
lockfile (package-lock.json, yarn.lock, pnpm-lock.yaml) – podstawa powtarzalnych buildów.

Bez tych elementów każdy developer może pracować na innej wersji Node, inne moduły mogą być instalowane globalnie i lokalnie, a CI będzie instalować zbędne paczki, spowalniając każdy pipeline.

Minimalny zestaw skryptów w package.json

Dobrze zdefiniowane skrypty to tania automatyzacja. Wystarczy kilka komend, które będzie można później bezpośrednio wołać z YAML-a:

test – uruchamia testy jednostkowe (Jest, Mocha, Vitest itd.),
lint – odpala ESLint na src/,
build – buduje aplikację (np. bundling frontendu, kompilacja TS → JS),
type-check – jeśli używasz TS, tsc --noEmit,
format i/lub format:check – Prettier lub inny formatter.

Przykładowy, prosty zestaw skryptów:

{
  "scripts": {
    "dev": "node src/index.js",
    "test": "jest",
    "lint": "eslint .",
    "build": "tsc -p tsconfig.build.json",
    "type-check": "tsc --noEmit",
    "format": "prettier --write .",
    "format:check": "prettier --check ."
  }
}

W pipeline CI można wtedy używać prostych kroków typu npm run lint, npm test, bez powielania konfiguracji narzędzi w YAML-u.

Spójna wersja Node: lokalnie i w CI

Rozjazd wersji Node między lokalnymi środowiskami a CI to klasyczna źródło błędów „u mnie działa”. Najprostsze mechanizmy, które pomagają trzymać się jednej wersji:

.nvmrc – plik z jedną linijką, np. 18 lub 18.19.0,
engines w package.json – np. "engines": { "node": ">=18 <20" },
narzędzia typu volta, które wymuszają konkretną wersję Node dla projektu.

CI (np. GitHub Actions) może czytać .nvmrc lub polegać na konkretnym numerze wersji w konfiguracji setup-node. Ważne, aby developerzy też korzystali z tych mechanizmów lokalnie. Dzięki temu nie ma niespodzianek typu „CI nie zna opcjonalnego chainingu, który działa u mnie na Node 20”.

Rozdzielenie dependencies i devDependencies

Traktowanie wszystkich paczek jako dependencies spowalnia pipeline. CI instaluje wtedy pełny zestaw modułów również wtedy, gdy w danym jobie nie jest to potrzebne. Dobrą praktyką jest:

pakiety używane tylko przy buildzie i testach (ESLint, Jest, TypeScript, Prettier) trzymać w devDependencies,
moduły potrzebne w runtime (Express, Nest, Prisma, biblioteki do integracji z zewnętrznymi API) trzymać w dependencies.

W niektórych pipeline’ach (np. build Dockera) można użyć flagi typu npm ci --only=production lub npm prune --production, żeby odchudzić obraz i przyspieszyć deploy. W codziennym CI dla Node często wystarczy standardowe npm ci, ale dobrze mieć ten podział uporządkowany od początku.

Przykładowy package.json gotowy pod pipeline CI

Przykład prostego, ale sensownego package.json dla serwera API w Node + TypeScript:

{
  "name": "node-api-ci-demo",
  "version": "1.0.0",
  "main": "dist/index.js",
  "scripts": {
    "dev": "ts-node-dev src/index.ts",
    "build": "tsc -p tsconfig.build.json",
    "type-check": "tsc --noEmit",
    "lint": "eslint src --ext .ts",
    "test": "jest",
    "format": "prettier --write .",
    "format:check": "prettier --check .",
    "start": "node dist/index.js"
  },
  "engines": {
    "node": ">=18 <20"
  },
  "dependencies": {
    "express": "^4.18.0",
    "cors": "^2.8.5"
  },
  "devDependencies": {
    "@types/express": "^4.17.0",
    "typescript": "^5.0.0",
    "eslint": "^8.0.0",
    "jest": "^29.0.0",
    "ts-jest": "^29.0.0",
    "prettier": "^3.0.0",
    "ts-node-dev": "^2.0.0"
  }
}

Taki plik od razu nadaje się do użycia w pipeline CI: wystarczy kilka kroków typu npm ci, npm run lint, npm test, npm run build, aby mieć podstawową kontrolę nad jakością każdej zmiany.

Pierwszy pipeline: od pustego YAML do działającego builda

Najprostszy możliwy workflow w GitHub Actions

Najtaniej i najszybciej zacząć od jednego workflow, który tylko buduje i testuje aplikację przy każdym pushu do głównej gałęzi i przy pull requestach. Bez macierzy, bez złożonych warunków, bez kilkunastu jobów.

Minimalny plik .github/workflows/ci.yml może wyglądać tak:

name: CI

on:
  push:
    branches:
      - main
  pull_request:

jobs:
  build-and-test:
    runs-on: ubuntu-latest

    steps:
      - name: Checkout repo
        uses: actions/checkout@v4

      - name: Setup Node
        uses: actions/setup-node@v4
        with:
          node-version: 18
          cache: npm

      - name: Install dependencies
        run: npm ci

      - name: Lint
        run: npm run lint

      - name: Test
        run: npm test

      - name: Build
        run: npm run build

To już jest „prawdziwy” pipeline CI: przy każdej zmianie w kodzie, przed mergem do main, projekt jest budowany, lintowany i testowany. Dla małego zespołu to często największy skok jakościowy w stosunku do ręcznego odpalania komend.

Co oznaczają poszczególne sekcje YAML

Żeby nie traktować YAML-a jak magii, dobrze zrozumieć kilka podstaw:

name – nazwa workflow, która pojawia się w UI GitHuba,
on – lista zdarzeń, które uruchamiają workflow (np. push, pull_request, release),
jobs – zestaw jobów, które mogą działać równolegle lub sekwencyjnie,
runs-on – typ maszyny (runnera), na której job będzie wykonywany,
steps – konkretne kroki w jobie; część to akcje (uses), część to komendy shellowe (run).

Z perspektywy kosztu i prostoty najważniejsze są dwa miejsca: on (kiedy pipeline się odpala) oraz steps (co dokładnie robi). Każda dodatkowa gałąź triggerów i każdy nadmiarowy krok to minuty CI, które prędzej czy później zaczną boleć.

Ograniczenie uruchomień: kiedy nie odpalać pipeline’u

Najprostsza optymalizacja kosztowa to nie uruchamiać pipeline’u tam, gdzie nie ma to sensu. Przykładowo – zmiana w README.md raczej nie wymaga pełnego builda i testów.

GitHub Actions pozwala odfiltrować takie przypadki:

on:
  push:
    branches:
      - main
    paths-ignore:
      - 'README.md'
      - 'docs/**'
  pull_request:
    paths-ignore:
      - 'README.md'
      - 'docs/**'

Przy projekcie z dużą dokumentacją albo monorepo z kilkoma pakietami potrafi to zaoszczędzić sporo minut, zwłaszcza jeśli zespół często aktualizuje opisy i markdowny.

Podział na lekkie i ciężkie joby

Dobrym kompromisem między kontrolą a czasem wykonania jest rozbicie pipeline’u na dwa typy jobów:

lekki job dla PR – szybki lint + testy jednostkowe, bez ciężkiego builda,
pełny job dla main – wszystko: lint, testy, build, opcjonalnie coverage czy skany.

Można to osiągnąć warunkami if lub osobnymi workflow:

jobs:
  pr-checks:
    if: github.event_name == 'pull_request'
    runs-on: ubuntu-latest
    steps:
      # checkout, setup-node, npm ci ...
      - run: npm run lint
      - run: npm test

  main-build:
    if: github.ref == 'refs/heads/main'
    runs-on: ubuntu-latest
    steps:
      # checkout, setup-node, npm ci ...
      - run: npm run lint
      - run: npm test
      - run: npm run build

Efekt jest prosty: developerzy dostają szybki feedback na PR, a pełny build odpalany jest tylko tam, gdzie to naprawdę ma sens.

Pudełko z uporządkowanymi płytami CD z widocznymi tytułami i wykonawcami — Źródło: Pexels | Autor: Brett Jordan

Instalacja zależności i cache: jak nie przepalać minut CI

npm ci zamiast npm install

W środowisku CI lepiej korzystać z npm ci niż npm install:

npm ci jest deterministyczne – używa tylko lockfile’a i nie modyfikuje go,
jest szybsze i bardziej przewidywalne,
łatwiej wychwytuje brakujący lub zniszczony lockfile.

W pipeline warto przyjąć zasadę: jeśli lockfile nie jest aktualny, pipeline się wywala i wymusza jego regenerację lokalnie. To oszczędza dziwnych bugów w stylu „u mnie node_modules ma inną wersję biblioteki niż w CI”.

Cache node_modules z użyciem setup-node

Najprostszy i zazwyczaj wystarczający cache w GitHub Actions to wbudowana opcja w actions/setup-node:

- name: Setup Node
  uses: actions/setup-node@v4
  with:
    node-version: 18
    cache: npm

- name: Install dependencies
  run: npm ci

Pod spodem cache’owany jest katalog ~/.npm na podstawie hash lockfile’a. Dla większości małych projektów to w zupełności wystarcza – każdy kolejny build na tej samej kombinacji lockfile + Node pobiera paczki z cache, a nie z internetu.

Ręczne cache dla Yarn / pnpm

Jeśli projekt używa Yarn albo pnpm, konfiguracja caching’u jest trochę inna. Przykład dla pnpm:

- name: Setup Node
  uses: actions/setup-node@v4
  with:
    node-version: 18
    cache: pnpm

- name: Install pnpm
  run: npm install -g pnpm

- name: Install dependencies
  run: pnpm install --frozen-lockfile

Dla Yarn można użyć:

- name: Setup Node
  uses: actions/setup-node@v4
  with:
    node-version: 18
    cache: yarn

- name: Install dependencies
  run: yarn install --frozen-lockfile

Tu również kluczowy jest deterministyczny install (--frozen-lockfile), żeby pipeline nie „naprawiał” lockfile’a na serwerze.

Cache na poziomie jobu: kiedy ma to sens

W niektórych projektach samo cache’owanie npm/yarn/pnpm to za mało. Build frontendu potrafi korzystać z ciężkich narzędzi, które też można cachować, np. katalog .next czy .turbo. Przykład ręcznego cache z actions/cache:

- name: Cache Next.js build
  uses: actions/cache@v4
  with:
    path: .next/cache
    key: next-cache-${{ runner.os }}-${{ hashFiles('package-lock.json') }}

Trzeba tylko dobrze dobrać klucze. Zbyt ogólne (np. bez hash lockfile’a) ryzykują błędny cache, zbyt szczegółowe powodują, że cache jest cały czas przebudowywany i nic nie przyspiesza.

Podział installi na osobne joby

W dużym monorepo node_modules potrafi ważyć naprawdę dużo. Jednym z podejść oszczędzających czas jest dzielenie pipeline’u na joby z własną instalacją zależności:

job „lint” – instaluje tylko to, co potrzebne do lintowania,
job „test” – ewentualnie inny zestaw zależności (raczej rzadko w prostych projektach),
job „build” – używa tych samych node_modules co testy, ale np. zaciągniętych z artefaktu.

Dla małych projektów taka komplikacja często się nie opłaca. Jeśli npm ci trwa kilkanaście sekund, prostsze i tańsze będzie trzymanie wszystkiego w jednym jobie.

Instalacja tylko production dependencies

W jobach, które przygotowują artefakt do wdrożenia (np. obraz Dockera), opłaca się ograniczyć zależności do dependencies:

RUN npm ci --only=production

Albo, jeśli wcześniej zainstalowano całość:

RUN npm prune --production

To zmniejsza wagę node_modules i przyspiesza start aplikacji, a także redukuje potencjalną powierzchnię ataku (mniej paczek w obrazie). W typowym pipeline’ie CI dla małego projektu wystarczy jednak zwykłe npm ci w jobach build/test, bez dodatkowego prunowania.

Automatyczne testy i jakość kodu: co uruchamiać w pipeline

Minimalny zestaw kontroli jakości

Dla małego zespołu nadmiar narzędzi jakościowych zabija prędkość pracy. Z drugiej strony brak jakiejkolwiek automatyki kończy się bugami na produkcji. Rozsądne minimum do pipeline’u Node to:

lint (ESLint),
testy jednostkowe,
opcjonalnie type-check (jeśli TypeScript),
opcjonalnie sprawdzenie formatowania (Prettier) w trybie --check.

Wszystko inne – coverage, skany bezpieczeństwa, testy e2e – lepiej dodać jako osobne kroki, gdy projekt rzeczywiście ich potrzebuje, a nie „na wszelki wypadek”.

Konfiguracja kroku z ESLint

Zakładając, że w package.json istnieje skrypt "lint": "eslint src --ext .ts,.js", krok w GitHub Actions wygląda prosto:

- name: Run ESLint
  run: npm run lint

Jeśli projekt jest świeży, wygodnym kompromisem na start jest traktowanie części reguł jako warningów zamiast errorów. ESLint pozwala na to w konfiguracji, a pipeline można ustawić tak, aby przechodził nawet z warningami (dopóki nie zostaną wyczyszczone).

Testy jednostkowe z raportowaniem statusu

Podstawowy krok testów nie wymaga specjalnych zabiegów:

- name: Run tests
  run: npm test

Jeśli testy mają trwać długo, dobrym nawykiem jest dzielenie ich na szybkie i wolne, a w CI odpalać pełen zestaw tylko na gałęzi głównej:

"scripts": {
  "test": "jest --runInBand --maxWorkers=2",
  "test:fast": "jest --runTestsByPath 'src/**/*.spec.ts'",
  "test:full": "jest"
}

jobs:
  pr-checks:
    steps:
      # ...
      - run: npm run test:fast

  main-checks:
    steps:
      # ...
      - run: npm run test:full

W małych projektach często wystarczy jeden zestaw testów. Podział zaczyna mieć sens dopiero, gdy pipeline zaczyna trwał odczuwalnie długo i blokuje code review.

Type-check jako osobny krok

W projektach TypeScriptowych opłaca się trzymać type-check jako osobny krok, zamiast polegać wyłącznie na type-checku w bundlerze:

- name: Type check
  run: npm run type-check

Dlaczego osobno? Bo czasami chcesz zezwolić na build w trybie „luźniejszym”, ale w CI jednak wymusić pełną poprawność typów. Rozdzielenie kroków pozwala łatwiej eksperymentować z konfiguracją bez rozwalania całego pipeline’u.

Prettier w trybie check-only

Formatowanie kodu poprawiane automatycznie przez CI rzadko jest dobrym pomysłem – generuje commity z pipeline’u i wprowadza zamieszanie. Lepiej jest sprawdzać, czy kod jest już sformatowany:

- name: Check formatting
  run: npm run format:check

Jeśli ktoś zapomni odpalić formatter lokalnie, pipeline jasno to pokaże. Przy małym zespole taka „dyscyplina” szybko wchodzi w nawyk i redukuje ilość niepotrzebnych diffów w PR.

Testy e2e i kontraktowe: gdzie je wpiąć

Pełne testy end-to-end są kosztowne: wymagają środowiska (bazy, czasem frontendu, czasem zewnętrznych mocków). Zamiast wrzucać je w każdy PR, lepiej uruchamiać je:

na gałęzi głównej po mergu,
przed wydaniem nowej wersji (tag/release),
ewentualnie ręcznie (workflow_dispatch), gdy jest potrzeba.

Podobnie z testami kontraktowymi (np. Pact). Dla małych API, gdzie większość komunikacji odbywa się wewnątrz jednego systemu, nie zawsze się zwrócą; dla projektów z kilkoma niezależnymi serwisami potrafią zaoszczędzić długie godziny debugowania.

Zbliżenie czarno-białej szpuli magnetofonu szpulowego vintage — Źródło: Pexels | Autor: Little Visuals

Sekrety, konfiguracja i zmienne środowiskowe w pipeline CI

Rozdzielenie konfiguracji builda od konfiguracji runtime

Wielu początkujących pakuje wszystkie konfiguracje do pliku .env i próbuje go wciągnąć do CI. Lepiej trzymać osobno:

zmienne potrzebne tylko do builda/testów (np. NODE_ENV=test, adres testowej bazy),
sekrety runtime (API keye, hasła do produkcyjnej bazy) – wykorzystywane dopiero na etapie deployu.

Pipeline CI zwykle potrzebuje tylko zestawu „testowego”: dane do lokalnej bazy, klucze do sandboxów zewnętrznych usług, ewentualnie tokeny do skanerów bezpieczeństwa.

Przechowywanie sekretów w GitHub Actions

W GitHub Actions sekrety trzyma się w zakładce „Settings → Secrets and variables → Actions”. Następnie można ich użyć w workflow:

env:
  DATABASE_URL: ${{ secrets.TEST_DATABASE_URL }}

steps:
  - name: Run tests
    run: npm test

Takie zmienne nie są logowane wprost (GitHub je maskuje), ale nadal trzeba uważać, by nie wypisywać ich zawartości w logach, np. przez przypadkowe console.log(process.env.DATABASE_URL) w testach.

Rozróżnienie secrets vs variables

Jak używać variables i secrets w praktyce

W GitHub Actions dostępne są dwa typy danych konfiguracyjnych:

Variables – zwykłe zmienne, nie są maskowane w logach, dobre na nieprywatne ustawienia (np. NODE_ENV, nazwa regionu chmury),
Secrets – szyfrowane i maskowane, przeznaczone na hasła, tokeny, klucze.

Bezpieczniej jest przyjąć prostą zasadę: wszystko, co choć odrobinę przypomina hasło lub token, ląduje w sekretnym schowku. Reszta może zostać zmienną „plain”. Przykład mieszanej konfiguracji:

env:
  NODE_ENV: test
  APP_REGION: ${{ vars.APP_REGION }}
  SENTRY_DSN: ${{ secrets.SENTRY_DSN }}

Przy małych projektach ustawianie vars zamiast twardego wpisania wartości w YAML często nie jest priorytetem. Ma sens, gdy pojawiają się co najmniej dwa workflowy wymagające tych samych parametrów – zmiana jednego miejsca jest wtedy po prostu szybsza i mniej awaryjna.

Scope sekretów: repozytorium, organizacja, environment

GitHub Actions pozwala określić, gdzie obowiązuje dany sekret:

repozytorium – najprościej, wszystko jest „na miejscu”,
organizacja – współdzielenie np. jednego tokena do npm-a między kilkoma repo,
environment (np. staging, production) – inne sekrety dla różnych środowisk.

Nawet mały zespół z jedną aplikacją backendową zwykle kończy z przynajmniej dwoma środowiskami: testowym i produkcyjnym. Przy takim układzie prosty podział:

TEST_DATABASE_URL – sekret na poziomie repo, używany w jobach testowych,
DATABASE_URL – sekret przypisany do environment production, używany tylko przy deployu.

Pomaga to uniknąć sytuacji, w której testy przypadkiem wykonują się na produkcyjnej bazie lub wrażliwy klucz jest dostępny w jobach, które w ogóle nie muszą go znać.

Wstrzykiwanie zmiennych środowiskowych do Node

Node pobiera zmienne z process.env, więc integracja z CI sprowadza się do ustawienia odpowiednich wartości przed uruchomieniem komendy. W GitHub Actions są trzy popularne sposoby:

globalny env na poziomie joba lub workflow,
env na poziomie pojedynczego kroku,
przekazanie zmiennych inline przed komendą.

Przykłady:

jobs:
  test:
    runs-on: ubuntu-latest
    env:
      NODE_ENV: test
      DATABASE_URL: ${{ secrets.TEST_DATABASE_URL }}
    steps:
      - run: npm test

Albo tylko dla jednego kroku:

- name: Run migration tests
  env:
    DATABASE_URL: ${{ secrets.TEST_DATABASE_URL }}
  run: npm run test:migrations

Lub najprostszy wariant inline (bardziej unixowy, mniej przenośny na Windowsowe runnery):

- name: Run tests with custom DB
  run: DATABASE_URL=${{ secrets.TEST_DATABASE_URL }} npm test

W małym projekcie zwykle wystarczy env na poziomie joba – czytelność stoi wyżej niż „idealne” wygaszanie środowiska po każdym kroku.

Konfiguracja przez pliki .env a pipeline CI

Jeżeli aplikacja używa biblioteki typu dotenv, pipeline może korzystać z plików .env, ale trzeba je traktować jako lokalną wygodę, a nie miejsce na sekrety środowisk produkcyjnych.

Praktyczny układ:

.env.example – trzymany w repo, bez prawdziwych sekretów, zawiera tylko nazwy zmiennych i przykładowe wartości,
.env.test.local – plik używany lokalnie przez deweloperów (w .gitignore),
sekrety w CI – zawsze z panelu Secrets, nie z plików.

W workflow można zbudować minimalny plik .env tylko na czas joba:

- name: Create .env file for tests
  run: |
    echo "NODE_ENV=test" >> .env
    echo "DATABASE_URL=${{ secrets.TEST_DATABASE_URL }}" >> .env

- name: Run tests
  run: npm test

To przydaje się w starszych kodach, które oczekują pliku .env, zamiast czytać konfigurację bezpośrednio z process.env. W nowym kodzie lepiej od razu wspierać oba warianty lub przejść całkowicie na zmienne środowiskowe.

Ograniczanie uprawnień i dostępu do sekretów

Nawet przy małym budżecie da się uniknąć najbardziej bolesnych wpadek bezpieczeństwa bez kupowania drogich narzędzi. Kilka prostych zasad:

różne sekrety dla różnych środowisk – osobny klucz do bazy testowej, stagingowej i produkcyjnej,
tokeny do npm-a / registry z minimalnym zakresem (tylko publish, tylko read),
brak kluczy produkcyjnych w workflowach odpalanych na PR-ze z forka.

GitHub pozwala np. zablokować użycie sekretów dla workflowów uruchamianych z forków. Jeśli niewielka biblioteka jest open source, a workflow ma publikować paczki na npm, bezpieczniej jest mieć osobny workflow wywoływany ręcznie (tag/release) i trzymać token tylko tam.

Debugowanie konfiguracji bez wycieku sekretów

Konfiguracja środowiskowa lubi „nie działać” za pierwszym razem. Zamiast wypisywać w logach pełne wartości zmiennych, lepiej:

logować tylko fragment (np. pierwsze 4 znaki klucza lub długość),
sprawdzić, czy zmienna istnieje, zamiast co zawiera,
użyć tymczasowego „fałszywego” sekretu do testów pipeline’u.

Prosty krok kontrolny:

- name: Check env presence
  run: |
    node -e "
      const required = ['DATABASE_URL', 'SENTRY_DSN'];
      const missing = required.filter(v => !process.env[v]);
      if (missing.length) {
        console.error('Missing env vars:', missing.join(', '));
        process.exit(1);
      } else {
        console.log('All required env vars are present');
      }
    "
  env:
    DATABASE_URL: ${{ secrets.TEST_DATABASE_URL }}
    SENTRY_DSN: ${{ secrets.SENTRY_DSN }}

Wystarczy informacja, że czegoś brakuje; prawdziwa wartość i tak nie jest potrzebna do diagnozy.

Integracja z Dockerem i przygotowanie pod CD (bez przesady)

Kiedy w ogóle bawić się w Docker w małym projekcie

Budowa obrazu Dockera w CI ma sens w trzech sytuacjach:

aplikacja i tak będzie odpalana w kontenerze (Kubernetes, ECS, Docker Swarm),
zespół chce mieć identyczne środowisko na dev/stage/prod bez zabawy w ręczne instalacje,
deployment polega na „podmianie obrazu” zamiast rsynca plików na serwer.

Jeżeli aplikacja ląduje na jednym VPS-ie, a deploy to prosty ssh && git pull && pm2 restart, Docker w pierwszym etapie bywa przerostem formy. Czasem lepiej najpierw ustabilizować CI (testy, lint, build), a dopiero później dorzucić Docker + CD, gdy aplikacja zaczyna rosnąć.

Prosty Dockerfile pod Node + CI

Minimalny Dockerfile, który dobrze współgra z pipeline’em, może wyglądać tak:

FROM node:18-alpine AS base
WORKDIR /app

FROM base AS deps
COPY package.json package-lock.json ./
RUN npm ci --only=production

FROM base AS build
COPY package.json package-lock.json ./
RUN npm ci
COPY . .
RUN npm run build

FROM base AS runtime
ENV NODE_ENV=production
USER node
WORKDIR /app

COPY --from=deps /app/node_modules ./node_modules
COPY --from=build /app/dist ./dist
COPY package.json ./

CMD ["node", "dist/index.js"]

Dla małego projektu można ten plik jeszcze uprościć (np. zrezygnować z osobnego etapu deps), ale powyższy wzór daje od razu przyzwoitą wagę obrazu i przyzwoity czas budowy. Pipeline CI może ten sam Dockerfile wykorzystać zarówno do lokalnego builda, jak i przy publikacji obrazu do registry.

Budowanie obrazu Dockera w GitHub Actions

Najprostszy wariant budowy + push do GitHub Container Registry:

name: docker-image

on:
  push:
    branches: [ main ]
    tags: [ 'v*.*.*' ]

jobs:
  build-and-push:
    runs-on: ubuntu-latest
    permissions:
      contents: read
      packages: write

    steps:
      - name: Checkout
        uses: actions/checkout@v4

      - name: Log in to GHCR
        uses: docker/login-action@v3
        with:
          registry: ghcr.io
          username: ${{ github.actor }}
          password: ${{ secrets.GITHUB_TOKEN }}

      - name: Build and push
        uses: docker/build-push-action@v6
        with:
          context: .
          push: true
          tags: |
            ghcr.io/${{ github.repository_owner }}/my-app:latest
            ghcr.io/${{ github.repository_owner }}/my-app:${{ github.sha }}

Dla małego projektu często wystarczy tag latest plus hash commita. Dopiero gdy trzeba łatwo wracać do konkretnych wersji, sens mają tagi oparte o wersje z package.json lub tagi gitowe.

Cache budowania obrazu a czas pipeline’u

Docker potrafi korzystać z cache warstw, ale w CI każdy job zwykle startuje „na czysto”. Żeby nie przebudowywać wszystkiego od zera, dobrze jest włączyć cache z zewnętrznego registry.

Z docker/build-push-action wygląda to tak:

- name: Build and push with cache
  uses: docker/build-push-action@v6
  with:
    context: .
    push: true
    tags: ghcr.io/${{ github.repository_owner }}/my-app:latest
    cache-from: type=registry,ref=ghcr.io/${{ github.repository_owner }}/my-app:buildcache
    cache-to: type=registry,ref=ghcr.io/${{ github.repository_owner }}/my-app:buildcache,mode=max

Przy małej aplikacji korzyść z cache będzie widoczna dopiero, gdy Dockerfile jest sensownie pocięty na warstwy i npm ci oraz npm run build nie są wykonywane przy każdej drobnej zmianie. Jeżeli przebudowa trwa kilkadziesiąt sekund, można przez jakiś czas obyć się bez cache i skupić na prostocie.

Weryfikacja obrazu: testy w kontenerze

Aby uniknąć sytuacji, w której obraz działa inaczej niż lokalne środowisko Node, przydaje się prosty krok testowy już na poziomie Dockera. Dwa warianty:

odpalać testy przed budową obrazu (szybciej, mniej kosztownych buildów),
odpalić przynajmniej smoke test w kontenerze – żeby mieć pewność, że obraz nie jest martwy.

Przykładowy smoke test po buildzie:

- name: Build image
  run: docker build -t my-app:test .

- name: Smoke test
  run: |
    docker run --rm -p 3000:3000 -d --name my-app my-app:test
    sleep 5
    curl -f http://localhost:3000/health
    docker logs my-app
    docker stop my-app

Taki krok można włączyć tylko dla gałęzi głównej lub przed release’m, żeby nie płacić czasem i minutami CI za każdy PR.

Prosty schemat CD bez pełnego „GitOps”

Pełny system CD z automatycznym rolloutem, canary, roll-backami bywa kosztowny – czasowo i technologicznie. Dla małego zespołu często wystarczy:

automatyczny build i push obrazu przy tagu release,
ręcznie uruchamiany workflow, który aktualizuje serwer lub klaster do wybranego taga.

Przykładowy workflow odpalany ręcznie, który aktualizuje usługę na serwerze z Dockerem:

name: deploy

on:
  workflow_dispatch:
    inputs:
      imageTag:
        description: 'Tag obrazu do wdrożenia'
        required: true
        default: 'latest'

jobs:
  deploy-to-prod:
    runs-on: ubuntu-latest

    steps:
      - name: SSH and deploy
        uses: appleboy/ssh-action@v1.0.3
        with:
          host: ${{ secrets.PROD_HOST }}
          username: ${{ secrets.PROD_USER }}
          key: ${{ secrets.PROD_SSH_KEY }}
          script: |
            docker pull ghcr.io/${{ github.repository_owner }}/my-app:${{ github.event.inputs.imageTag }}
            docker stop my-app || true
            docker rm my-app || true
            docker run -d --name my-app -p 80:3000 
              -e NODE_ENV=production 
              -e DATABASE_URL=${{ secrets.PROD_DATABASE_URL }} 
              ghcr.io/${{ github.repository_owner }}/my-app:${{ github.event.inputs.imageTag }}

Nie jest to najbardziej zaawansowane rozwiązanie na świecie, ale od razu zapewnia:

reproducible deploy z konkretnego obrazu,
centralne trzymanie sekretów w GitHubie,
historyczną listę wdrożeń w zakładce „Actions”.

Dla wielu małych serwisów backendowych taki poziom automatyzacji jest na lata wystarczający i wymaga znacznie mniej żonglowania infrastrukturą niż od razu budowanie pełnej platformy CD.

Łączenie CI Dockerowego z klasycznym Node CI

Dobry kompromis to rozdzielenie dwóch potoków:

ci-checks – odpalany na każdy PR, robi lint, testy, typy, ewentualnie prosty build artefaktu,

Najczęściej zadawane pytania (FAQ)

Dlaczego w ogóle potrzebuję pipeline CI dla aplikacji Node.js w małym zespole?

Pipeline CI zdejmie z ciebie powtarzalną, ręczną robotę: zamiast za każdym razem odpalać npm test, npm run lint czy npm run build, system zrobi to automatycznie przy każdym pushu lub pull requeście. Dzięki temu nie wrzucasz do głównej gałęzi kodu, który nawet się nie buduje.

Druga rzecz to stabilność środowiska. CI uruchamia testy na czystej maszynie z określoną wersją Node i zainstalowanymi zależnościami z lockfile’a, więc wychodzą na jaw problemy, które lokalnie mogą się „magicznym trafem” nie reprodukować. To tanie ubezpieczenie przed bugami na produkcji, szczególnie gdy nie masz dedykowanego QA.

Jaki jest minimalny, sensowny pipeline CI dla małego projektu Node.js?

Na start wystarczy naprawdę lekki zestaw kroków, który da 80% efektu przy małym nakładzie:

instalacja zależności na czysto (z lockfile’em),
lint (i ewentualnie formatowanie) kodu,
testy jednostkowe,
opcjonalnie build, jeśli masz frontend, TypeScript albo bundlowany backend.

Taki pipeline zwykle zamyka się w kilku minutach i od razu wyłapuje literówki w importach, błędy składni, proste regresje i problemy z konfiguracją środowiska. Całą „ciężką artylerię” (testy e2e, coverage, skany bezpieczeństwa) możesz dorzucać stopniowo, kiedy projekt i zespół rosną.

Czy freelancerowi opłaca się stawiać CI dla małych aplikacji Node.js?

Tak, zwłaszcza jeśli rozliczasz się za feature’y, a nie za godziny gaszenia pożarów. Prosty pipeline CI można skonfigurować w mniej więcej godzinę, a później odzyskujesz ten czas, bo nie odpalasz ciągle tych samych komend na każdym branchu i nie poprawiasz „oczywistych” bugów podczas demo u klienta.

Dodatkowo GitHub Actions, GitLab CI czy Bitbucket Pipelines mają darmowe limity, które przy małych projektach spokojnie wystarczają. Nie płacisz więc ani za narzędzie, ani za osobny serwer – koszt to głównie jednorazowe ustawienie YAML-a i drobne poprawki co jakiś czas.

Co powinno uruchamiać się na pull requeście, a co dopiero na gałęzi main?

Na PR-ach warto odpalać wszystko, co ma blokować merge niestabilnego kodu: budowę aplikacji, testy jednostkowe, lint oraz ewentualny type-check, jeśli korzystasz z TypeScriptu. To szybki filtr: jeśli tu jest na czerwono, kod nie ląduje w main.

Na main (i opcjonalnie develop) możesz dołożyć cięższe rzeczy: testy e2e, generowanie raportów pokrycia, skany bezpieczeństwa czy budowę obrazu Dockera. Dzięki temu każdy PR daje szybki feedback, a pełniejsza weryfikacja odpala się rzadziej, ale przed każdym realnym wdrożeniem.

Jaką strategię branchy wybrać pod prosty CI dla Node.js?

Dla małego zespołu albo solo-deva wystarczy nieskomplikowany układ:

main – gałąź produkcyjna, zawsze w stanie gotowym do wdrożenia,
develop – opcjonalnie, jeśli masz kilku devów i potrzebujesz wspólnej „piaskownicy”,
feature/* – krótkie gałęzie do pojedynczych zmian.

Dobry kompromis koszt/efekt: na push do feature/* odpalaj minimalny zestaw (lint + szybkie testy), a na PR do develop/main pełny pipeline. Dzięki temu nie przepalasz minut CI na każdy WIP, ale łapiesz większość błędów zanim kod zbliży się do produkcji.

Co muszę mieć w package.json, żeby wygodnie zbudować pipeline CI?

Kluczowe są dobrze opisane skrypty i spójne środowisko. Minimum to:

"scripts" z komendami test, lint, build i ewentualnie type-check,
"engines" z wersją Node, aby lokalne i CI działały na tym samym runtime,
sensowny podział na dependencies i devDependencies,
lockfile (package-lock.json, yarn.lock lub pnpm-lock.yaml).

Dzięki temu w YAML-u w praktyce tylko wywołujesz npm test czy npm run lint, zamiast kleić długie komendy. Pipeline jest prostszy w utrzymaniu, a migracja między narzędziami CI dużo mniej bolesna.

Czy potrzebuję własnego runnera do CI dla Node.js, czy wystarczą darmowe GitHub Actions / GitLab CI?

Własny runner ma sens dopiero wtedy, gdy naprawdę masz specyficzne wymagania: bardzo ciężkie buildy, niestandardowe biblioteki systemowe albo regularne przekraczanie darmowych limitów SaaS, które wychodzi drożej niż jedna stała maszyna w chmurze.

Przy typowej aplikacji Node, małym ruchu w repo i rozsądnym cache’owaniu zależności gotowe runnery GitHub Actions, GitLab CI czy Bitbucket Pipelines są po prostu tańsze i mniej problematyczne. Nie musisz pilnować aktualizacji, dysku czy bezpieczeństwa własnej maszyny – skupiasz się na kodzie i samym pipeline’ie.

Najważniejsze punkty

Pipeline CI dla Node.js automatyzuje powtarzalne komendy (instalacja zależności, lint, testy, build) i uruchamia je na czystym środowisku przy każdym pushu lub PR, dzięki czemu szybko wychwytuje błędy zależne od konfiguracji lokalnej.
Dobrze skonfigurowany, prosty CI w małym zespole lub u freelancera realnie obniża koszty – taniej złapać błąd kilka minut po commicie niż debugować produkcję u klienta wieczorem podczas dema.
Na start wystarczy „budżetowy” zestaw kroków: świeża instalacja zależności, linting (plus ewentualnie formatowanie), testy jednostkowe i opcjonalny build; rozbudowane testy e2e czy skany bezpieczeństwa można dołożyć dopiero, gdy projekt zacznie rosnąć.
Strategia branchy powinna być zszyta z CI: lekkie checki (lint + szybkie testy) na każde push do gałęzi feature i pełny zestaw (testy, lint, type-check, build) na PR do develop/main, żeby nie przepalać minut CI na każdy WIP, a jednocześnie chronić główną gałąź.
Najważniejsze sprawdzenia (build, testy jednostkowe, lint, opcjonalnie type-check) powinny blokować merge do main, natomiast cięższe zadania, jak testy e2e czy raporty coverage, można odpalać rzadziej – na push do głównej gałęzi.
Przy repozytoriach na GitHubie najszybszą i najtańszą drogą startu jest GitHub Actions z domyślną infrastrukturą i darmowymi minutami; przy GitLabie lub Bitbuckecie bardziej opłaca się wykorzystać wbudowane, proste w konfiguracji pipeline’y zamiast budować własne rozwiązania.