ci: publicacao via Trusted Publishing (OIDC) + PUBLISHING.md

giovanniacg · giovanniacg · commit d26efbdd75d7 · 2026-06-15T02:11:02.000-03:00
diff --git a/.github/workflows/python-publish.yml b/.github/workflows/python-publish.yml
@@ -1,38 +1,154 @@
 name: Publicar pacote
 
+# Publicacao via Trusted Publishing (OIDC) - NAO usa token nem secret.
+# Disparada por tags git:
+#   tag vX.Y.ZrcN  (pre-release, ex: v1.5.4rc1)  -> publica no TestPyPI
+#   tag vX.Y.Z     (versao final, ex: v1.5.4)    -> publica no PyPI (producao)
+#
+# Trava de seguranca: a publicacao em producao so roda se ja existir uma
+# release candidate (vX.Y.ZrcN) da MESMA versao publicada no TestPyPI.
+#
+# Passo a passo, configuracao do trusted publisher no PyPI e como testar:
+# ver PUBLISHING.md na raiz do repositorio.
+
 on:
   push:
-    branches: [ main, develop ]
     tags:
       - "v*"
   workflow_dispatch:
 
 jobs:
-  deploy:
+  build:
+    name: Build e validacoes
     runs-on: ubuntu-latest
-
+    outputs:
+      version: ${{ steps.meta.outputs.version }}
+      package: ${{ steps.meta.outputs.package }}
+      is_prerelease: ${{ steps.meta.outputs.is_prerelease }}
     steps:
-      - uses: actions/checkout@v3
+      - uses: actions/checkout@v4
 
       - name: Setup Python
-        uses: actions/setup-python@v4
+        uses: actions/setup-python@v5
         with:
-          python-version: "3.10"
+          python-version: "3.12"
 
-      - name: Instalar dependências
+      - name: Instalar ferramentas de build
+        run: python -m pip install --upgrade pip build packaging twine
+
+      - name: Validar tag == versao do pyproject e detectar pre-release
+        id: meta
         run: |
-          python -m pip install --upgrade pip
-          pip install build
-          pip install twine
+          python - <<'PY'
+          import os, sys, tomllib
+          from packaging.version import Version
+
+          ref = os.environ["GITHUB_REF_NAME"]          # ex: v1.5.4rc1
+          tag_version = ref[1:] if ref.startswith("v") else ref
+
+          with open("pyproject.toml", "rb") as f:
+              proj = tomllib.load(f)["project"]
+          pkg, pyproject_version = proj["name"], proj["version"]
+
+          if Version(tag_version) != Version(pyproject_version):
+              print(f"::error::A tag ({tag_version}) difere da versao em "
+                    f"pyproject.toml ({pyproject_version}). Atualize a versao "
+                    f"no pyproject antes de criar a tag.")
+              sys.exit(1)
+
+          is_pre = "true" if Version(tag_version).is_prerelease else "false"
+          with open(os.environ["GITHUB_OUTPUT"], "a") as out:
+              out.write(f"version={tag_version}\n")
+              out.write(f"package={pkg}\n")
+              out.write(f"is_prerelease={is_pre}\n")
+          print(f"OK: {pkg} {tag_version} (pre-release={is_pre})")
+          PY
 
-      - name: Build package
+      - name: Build (sdist + wheel)
         run: python -m build
 
-      - name: Publish package on test pypi
-        if: github.ref == 'refs/heads/develop'
-        run: python -m twine upload -u __token__ -p ${{ secrets.TEST_PYPI_API_TOKEN }} --repository testpypi dist/*
+      - name: twine check
+        run: python -m twine check dist/*
+
+      - name: Subir artefato
+        uses: actions/upload-artifact@v4
+        with:
+          name: dist
+          path: dist/
+
+  testpypi:
+    name: Publicar no TestPyPI (release candidate)
+    needs: build
+    if: needs.build.outputs.is_prerelease == 'true'
+    runs-on: ubuntu-latest
+    environment: testpypi
+    permissions:
+      id-token: write   # obrigatorio para Trusted Publishing (OIDC)
+    steps:
+      - name: Baixar artefato
+        uses: actions/download-artifact@v4
+        with:
+          name: dist
+          path: dist/
+
+      - name: Publicar no TestPyPI
+        uses: pypa/gh-action-pypi-publish@release/v1
+        with:
+          repository-url: https://test.pypi.org/legacy/
+
+  pypi:
+    name: Publicar no PyPI (producao)
+    needs: build
+    if: needs.build.outputs.is_prerelease == 'false'
+    runs-on: ubuntu-latest
+    environment: pypi
+    permissions:
+      id-token: write   # obrigatorio para Trusted Publishing (OIDC)
+    steps:
+      - name: Setup Python
+        uses: actions/setup-python@v5
+        with:
+          python-version: "3.12"
+
+      - name: Gate - exige release candidate da mesma versao no TestPyPI
+        env:
+          PACKAGE: ${{ needs.build.outputs.package }}
+          VERSION: ${{ needs.build.outputs.version }}
+        run: |
+          python -m pip install --upgrade packaging
+          python - <<'PY'
+          import json, os, sys, urllib.request, urllib.error
+          from packaging.version import Version
+
+          pkg = os.environ["PACKAGE"]
+          base = Version(os.environ["VERSION"]).base_version   # ex: 1.5.4
+          url = f"https://test.pypi.org/pypi/{pkg}/json"
+          try:
+              with urllib.request.urlopen(url, timeout=30) as r:
+                  data = json.load(r)
+          except urllib.error.HTTPError as e:
+              print(f"::error::Nao foi possivel consultar o TestPyPI ({e.code}). "
+                    f"Publique e teste a release candidate v{base}rc1 antes da "
+                    f"versao final v{base}.")
+              sys.exit(1)
+
+          rcs = sorted(
+              v for v in data.get("releases", {})
+              if Version(v).base_version == base and Version(v).is_prerelease
+          )
+          if not rcs:
+              print(f"::error::Gate bloqueou a publicacao em producao: nenhuma "
+                    f"release candidate de {base} encontrada no TestPyPI. Crie e "
+                    f"teste a tag v{base}rc1 antes de publicar a final v{base}.")
+              sys.exit(1)
+          print(f"Gate ok: release candidate(s) no TestPyPI para {base}: {rcs}")
+          PY
+
+      - name: Baixar artefato
+        uses: actions/download-artifact@v4
+        with:
+          name: dist
+          path: dist/
 
-      - name: Publish package on pypi
-        if: github.event_name == 'push' && startsWith(github.ref, 'refs/tags')
-        run: python -m twine upload -u __token__ -p ${{ secrets.PYPI_API_TOKEN }} dist/*
-        
+      - name: Publicar no PyPI (producao)
+        uses: pypa/gh-action-pypi-publish@release/v1
diff --git a/PUBLISHING.md b/PUBLISHING.md
@@ -0,0 +1,152 @@
+# Publicacao do pacote `msgram-parser`
+
+Guia de como empacotar e publicar este repositorio no PyPI. Escrito para os
+proximos grupos: leia inteiro antes da primeira release.
+
+Pacote no PyPI: **`msgram-parser`**.
+
+---
+
+## TL;DR
+
+A publicacao e automatica via GitHub Actions e **Trusted Publishing (OIDC)**:
+nao existe token nem secret no repositorio. Tudo e disparado por **tag git**.
+
+| Tag que voce cria        | Onde publica       | Quando usar                          |
+|--------------------------|--------------------|--------------------------------------|
+| `vX.Y.ZrcN` (`v1.2.2rc1`)| TestPyPI           | Testar o pacote antes de producao    |
+| `vX.Y.Z` (`v1.2.2`)      | PyPI (producao)    | Release final, depois de validar a rc|
+
+**Trava de seguranca:** a tag final (`vX.Y.Z`) so publica em producao se ja
+existir uma release candidate (`vX.Y.ZrcN`) da mesma versao no TestPyPI. Sem rc,
+o job falha. E impossivel publicar em producao sem ter testado antes.
+
+---
+
+## Fluxo completo de uma release (passo a passo)
+
+1. **Bump da versao para a rc.** Em `pyproject.toml`, ajuste:
+   ```toml
+   version = "1.2.2rc1"
+   ```
+   A versao do `pyproject.toml` tem que bater EXATAMENTE com a tag, senao o CI
+   falha de proposito (step "Validar tag == versao do pyproject").
+2. **Commit + tag da rc:**
+   ```bash
+   git commit -am "chore: bump 1.2.2rc1"
+   git tag v1.2.2rc1
+   git push origin develop --tags
+   ```
+   O push da tag dispara o workflow, que publica no **TestPyPI**.
+3. **Teste a rc** instalando do TestPyPI (secao abaixo). Rode o que precisar.
+4. **Se estiver tudo certo, prepare a final.** No `pyproject.toml`:
+   ```toml
+   version = "1.2.2"
+   ```
+5. **Commit + tag final:**
+   ```bash
+   git commit -am "chore: release 1.2.2"
+   git tag v1.2.2
+   git push origin develop --tags
+   ```
+   O workflow roda o **gate** (confere que `1.2.2rcN` existe no TestPyPI) e, se
+   passar, publica em **producao**.
+
+Achou um problema na rc? Corrija, suba a versao da rc (`1.2.2rc2`) e repita do
+passo 1. So promova para final quando a rc estiver boa.
+
+---
+
+## Pre-requisitos: configurar o Trusted Publisher (uma vez por projeto)
+
+Quem tiver acesso de **owner** do projeto no PyPI precisa registrar o publisher
+confiavel nos DOIS indices (sao contas/sites separados):
+
+- Producao: <https://pypi.org/manage/project/msgram-parser/settings/publishing/>
+- Teste: <https://test.pypi.org/manage/project/msgram-parser/settings/publishing/>
+
+Em cada um, adicione um "GitHub" trusted publisher com:
+
+| Campo               | Valor                              |
+|---------------------|------------------------------------|
+| Owner               | `fga-eps-mds`                      |
+| Repository name     | `2026.1-MeasureSoftGram-Parser`   |
+| Workflow filename   | `python-publish.yml`              |
+| Environment name    | `pypi` no PyPI / `testpypi` no TestPyPI |
+
+Depois, no GitHub do repo (Settings > Environments), crie os environments
+**`testpypi`** e **`pypi`**. Recomendado: no `pypi`, marque "Required reviewers"
+com alguem do time, assim toda release de producao passa por um OK humano alem
+do gate da rc.
+
+> Nota: Trusted Publishing substitui os antigos secrets `PYPI_API_TOKEN` e
+> `TEST_PYPI_API_TOKEN`. Eles nao sao mais usados e podem ser removidos.
+
+---
+
+## Como testar a partir do TestPyPI
+
+O TestPyPI nao tem todas as dependencias pesadas (requests, numpy, pandas). Por
+isso o `--extra-index-url` aponta para o PyPI de producao, de onde essas deps
+sao baixadas:
+
+```bash
+uv venv --python 3.10 .venv
+uv pip install --python .venv/bin/python \
+  --index-url https://test.pypi.org/simple/ \
+  --extra-index-url https://pypi.org/simple/ \
+  "msgram-parser==1.2.2rc1"
+
+.venv/bin/python -c "import genericparser; print('import ok')"
+```
+
+(Com `pip` puro: `pip install --index-url ... --extra-index-url ... msgram-parser==1.2.2rc1`.)
+
+---
+
+## Ordem de publicacao entre os pacotes do MeasureSoftGram
+
+O ecossistema tem tres pacotes com dependencia entre eles:
+
+```
+msgram (CLI)  ->  depende de  ->  msgram-core  +  msgram-parser
+```
+
+`msgram-parser` (este repo) **nao depende** dos outros, entao faz parte da
+primeira onda. Ordem recomendada ao subir versoes novas em producao:
+
+1. **msgram-core** e **msgram-parser** (este repo entra aqui)
+2. so depois, **msgram** (CLI)
+
+Motivo: quando o CLI for publicado, o PyPI precisa ja ter as versoes novas de
+core e parser disponiveis para resolver as dependencias.
+
+---
+
+## Versionamento
+
+- Segue [PEP 440](https://peps.python.org/pep-0440/). Release candidate e
+  `X.Y.ZrcN` (ex: `1.2.2rc1`), final e `X.Y.Z`.
+- Cada versao so pode ser publicada **uma vez** em cada indice. Para republicar,
+  suba o numero (nao da para sobrescrever no PyPI nem no TestPyPI).
+- A tag git sempre tem o prefixo `v` (`v1.2.2rc1`, `v1.2.2`).
+
+---
+
+## Troubleshooting
+
+| Sintoma | Causa provavel / solucao |
+|---|---|
+| `403 ... isn't allowed to upload to project` | Trusted publisher nao configurado ou com campo divergente (owner/repo/workflow/environment). Confira a secao de pre-requisitos. |
+| `400 File already exists` | Essa versao ja foi publicada nesse indice. Suba o numero da versao. |
+| Job de producao falhou no "Gate" | Nao existe rc da mesma versao no TestPyPI. Publique e teste a `vX.Y.ZrcN` primeiro. |
+| `Tag ... difere da versao em pyproject.toml` | A tag e a `version` do `pyproject.toml` precisam ser iguais. Ajuste e re-tague. |
+| `pip` nao acha as deps ao instalar do TestPyPI | Faltou o `--extra-index-url https://pypi.org/simple/`. |
+
+---
+
+## Referencias
+
+- Trusted Publishing (PyPI): <https://docs.pypi.org/trusted-publishers/>
+- Action oficial: <https://github.com/pypa/gh-action-pypi-publish>
+- Workflow deste repo: `.github/workflows/python-publish.yml`
