निर्भरता और सीआई/सीडी शासन

यह पृष्ठ बताता है कि कैसे PayCal जावास्क्रिप्ट निर्भरता को नियतात्मक रखता है और रिलीज़ से पहले CI गेट्स को कैसे लागू किया जाता है।

Published: 2026-03-31

      सत्यापन मेटाडेटा
      मार्ग: /transparency/dependency-ci/
अंतिम बार सत्यापित: 2026-03-31
अगली समीक्षा देय: 2026-06-30
सत्यापन का दायरा: एनपीएम पैकेज नीति, लॉकफ़ाइल व्यवहार, गिटहब एक्शन वर्कफ़्लोज़, और रिलीज़-गेट दस्तावेज़ीकरण।

    

एनपीएम निर्भरता नीति

PayCal जावास्क्रिप्ट टूलिंग और ब्राउज़र ऑटोमेशन जांच के लिए लॉकफ़ाइल-प्रथम निर्भरता नीति का उपयोग करता है।

Install mode for automation: npm ci only (frozen lockfile install).
Lockfile source of truth: package-lock.json is required for deterministic CI installs.
Declared package manifest: package.json defines lint, smoke, and accessibility command surfaces.
Override controls: dependency overrides are declared in package.json to pin selected transitive risk points.

If npm ci reports a mismatch between package.json and package-lock.json, the lockfile is updated intentionally in a dedicated maintenance change before CI reruns.

एनपीएम का उपयोग किस लिए किया जाता है?

प्रयोजन	आदेश	प्राथमिक नियंत्रण
जावास्क्रिप्ट लिंट और सिंक जाँच	`npm run test:js`	ESLint नियम + JS सिंक नीति जाँच
नाटककार धूम्रपान की जाँच करता है	`npm run test:smoke:ui`	ब्राउज़र-स्तरीय मार्ग व्यवहार और प्रतिगमन सत्यापन
अभिगम्यता मार्ग और नीति जाँच	`npm run test:a11y:all`	WCAG, रिफ़्लो, कंट्रास्ट और ARIA परीक्षण सूट
कंट्रास्ट मैट्रिक्स पीढ़ी	`npm run test:a11y:contrast`	थीम-स्तरीय कंट्रास्ट अनुरूपता सत्यापन

सीआई/सीडी गेट मॉडल

PayCal सभी वर्कफ़्लो में गुणवत्ता नियंत्रण को अलग करता है ताकि विफलताएँ स्पष्ट और पता लगाने योग्य हों:

.github/workflows/javascript.yml: Node 20 + npm ci + JavaScript quality gates.
.github/workflows/phpunit.yml: staged backend validation from fast gate to deep verification and artifacts.
.github/workflows/phpstan.yml: strict static analysis with baseline-blocking policy.

रिलीज़ हाइजीन वर्कफ़्लो विफल गेटों को अवरोधक मानता है और सुधार के बाद पुन: चलाने की आवश्यकता होती है।

ज्ञात सीमाएँ

सार्वजनिक पारदर्शिता पृष्ठ रिलीज़ चक्रों पर वर्कफ़्लो और पैकेज परिवर्तनों के साथ मैन्युअल रूप से सिंक्रनाइज़ होते हैं।
सीआई पाइपलाइन व्यवहार को कई पृष्ठों में प्रलेखित किया गया है और यदि अपडेट लगातार लागू नहीं किए जाते हैं तो यह खराब हो सकता है।

      नियोजित दस्तावेज़ीकरण सुधार
      प्रत्येक सीआई जॉब को मालिक, ट्रिगर, कमांड और ब्लॉकिंग स्थिति पर मैप करते हुए एक कैनोनिकल गेट मैट्रिक्स प्रकाशित करें।
प्रत्यक्ष एनपीएम पैकेज, तर्क और अद्यतन ताल सहित त्रैमासिक निर्भरता शासन स्नैपशॉट जोड़ें।
यह पुष्टि करने के लिए कि एनपीएम गवर्नेंस दस्तावेज़ वर्कफ़्लो और लॉकफ़ाइल नीति के साथ संरेखित हैं, एक रिलीज़ चेकलिस्ट आइटम जोड़ें।

    

कैसे सत्यापित करें

# Reproduce JavaScript CI gates locally
npm ci
npm run test:js

# Reproduce broader release-level accessibility gate
npm run test:a11y:all

# Inspect workflow definitions
cat .github/workflows/javascript.yml
cat .github/workflows/phpunit.yml
cat .github/workflows/phpstan.yml

Related transparency pages: Testing and Validation Governance and Verification and Governance.