feat(ci): 打标发布时同步到 GitHub Packages

Author: iammm0

.github/workflows/release.yml

@@ -6,7 +6,9 @@
 #    · 或 Classic Token：类型必须选 Automation（勿用需 OTP 的 Publish 类令牌）。
 #    权限须覆盖 @opensec；GitHub Secret 名仍为 NPM_TOKEN。
 # 3. git tag v2.0.0 && git push origin v2.0.0
-#    将触发：构建 → 校验版本 → 打 GitHub Release 并上传 tgz → npm publish。
+#    将触发：构建 → 校验版本 → 打 GitHub Release 并上传 tgz → npm publish（npmjs）+
+#    GitHub Packages（仓库 Settings → Packages 可见；包名为 @<仓库所有者>/secbot，与 @opensec/secbot 并存）。
+#    工作流 permissions 需含 packages: write（已配置）；使用 GITHUB_TOKEN 认证 npm.pkg.github.com。
 
 name: Release
 
@@ -18,6 +20,7 @@ on:
 
 permissions:
   contents: write
+  packages: write
 
 jobs:
   build:
@@ -106,3 +109,36 @@ jobs:
         run: npm publish --access public
         env:
           NODE_AUTH_TOKEN: ${{ secrets.NPM_TOKEN }}
+
+  publish-github-packages:
+    name: Publish to GitHub Packages
+    needs: build
+    runs-on: ubuntu-latest
+    if: startsWith(github.ref, 'refs/tags/v')
+    steps:
+      - uses: actions/checkout@v4
+
+      # GitHub Packages 要求作用域小写，与 apply-github-packages-name.js 中 pkg.name 一致
+      - name: Normalize npm scope owner (lowercase)
+        run: echo "NPM_SCOPE_OWNER=$(echo '${{ github.repository_owner }}' | tr '[:upper:]' '[:lower:]')" >> $GITHUB_ENV
+
+      - name: Set up Node.js for GitHub Packages
+        uses: actions/setup-node@v4
+        with:
+          node-version: '24'
+          registry-url: 'https://npm.pkg.github.com'
+          scope: '${{ env.NPM_SCOPE_OWNER }}'
+          cache: 'npm'
+
+      - name: Install dependencies
+        run: npm ci
+
+      - name: Apply scoped name for GitHub Packages registry
+        run: node scripts/apply-github-packages-name.js
+        env:
+          GITHUB_REPOSITORY_OWNER: ${{ env.NPM_SCOPE_OWNER }}
+
+      - name: Publish to GitHub Packages
+        run: npm publish
+        env:
+          NODE_AUTH_TOKEN: ${{ secrets.GITHUB_TOKEN }}

docs/RELEASE.md

@@ -49,9 +49,14 @@ GitHub Actions 工作流：
 2. 使用 `npm run build` 构建 TypeScript 后端。
 3. 打包发布产物并上传到 GitHub Release。
 4. 发布 npm 包（如配置）。
+5. 同一次打标还会 **发布到 GitHub Packages**（使用 `GITHUB_TOKEN`，无需额外 Secret）：包名为 `@<仓库所有者小写>/secbot`（例如 `iammm0/secbot` 对应 `@iammm0/secbot`），与 npmjs 上的 `@opensec/secbot` **名称不同、可并存**。在仓库 **Settings → Packages**（或个人 **Packages**）中查看。
 
 **`NPM_TOKEN` 与 2FA**：若 npm 账号启用了双因素认证，CI 里必须用 **Granular 令牌且允许发布时绕过 2FA**，或 **Classic 的 Automation 令牌**；否则会出现 `403 ... bypass 2fa enabled is required to publish`。
 
+### 从 GitHub Packages 安装（可选）
+
+消费方仓库需在 `.npmrc` 中指向 `https://npm.pkg.github.com`，并使用具有 `read:packages` 权限的 **Classic PAT**（或有权读取该包的工作流 token）。包名示例：`@iammm0/secbot`。详见 [Working with the npm registry](https://docs.github.com/packages/working-with-a-github-packages-registry/working-with-the-npm-registry)。
+
 ## 本地发布任务
 
 安装依赖：

scripts/apply-github-packages-name.js

@@ -0,0 +1,29 @@
+#!/usr/bin/env node
+/**
+ * Release CI：将 package.json 调整为发布到 GitHub Packages。
+ * GitHub npm registry 要求作用域与仓库所有者一致（与 npmjs 上的 @opensec/* 可并存为二次发布）。
+ *
+ * 环境变量：GITHUB_REPOSITORY_OWNER（由 Actions 注入）
+ */
+'use strict';
+
+const fs = require('node:fs');
+const path = require('node:path');
+
+const owner = (process.env.GITHUB_REPOSITORY_OWNER || '').trim().toLowerCase();
+if (!owner) {
+  console.error('Missing GITHUB_REPOSITORY_OWNER');
+  process.exit(1);
+}
+
+const pkgPath = path.join(__dirname, '..', 'package.json');
+const pkg = JSON.parse(fs.readFileSync(pkgPath, 'utf8'));
+const parts = String(pkg.name || '').split('/');
+const tail = (parts.length >= 2 ? parts[1] : 'secbot').toLowerCase();
+
+pkg.name = `@${owner}/${tail}`;
+pkg.publishConfig = {
+  registry: 'https://npm.pkg.github.com',
+};
+
+fs.writeFileSync(pkgPath, `${JSON.stringify(pkg, null, 2)}\n`);