Construire un pipeline CI/CD avec GitHub Actions en 2026

Vous allez construire un pipeline CI/CD complet avec GitHub Actions qui teste automatiquement votre code Python à chaque push, exécute les tests, vérifie la couverture et déploie sur un serveur VPS — le tout gratuit pour les dépôts publics (2 000 minutes/mois pour les dépôts privés). Documentation officielle GitHub Actions.

Ce que vous allez construire et pourquoi en 2026

Un workflow GitHub Actions qui : 1) installe les dépendances Python, 2) lance les tests avec pytest, 3) vérifie le linting avec ruff, 4) déploie automatiquement sur votre VPS via SSH si les tests passent. Prérequis : un dépôt GitHub (public ou private), Python 3.10+, et un VPS avec accès SSH. Temps estimé : 20 minutes. GitHub Actions est gratuit pour les dépôts publics et offre 2 000 minutes/mois pour les dépôts privés (Linux x64 à 0,002 $/minute au-delà).

Installation : commandes exactes à copier

# Cloner votre dépôt (si pas déjà fait)
git clone https://github.com/votre-compte/votre-projet.git
cd votre-projet # Créer la structure du workflow
mkdir -p .github/workflows # Installer pytest et ruff localement pour tester
pip install pytest ruff pytest-cov

Résultat attendu : le dossier .github/workflows/ est créé, prêt à recevoir le fichier YAML du workflow. Erreur courante : "Permission denied" sur mkdir → vérifiez que vous êtes dans le bon dépôt git et que le dossier n'est pas en lecture seule.

Configuration : les fichiers et variables à définir

Créez le fichier .github/workflows/ci.yml :

name: CI/CD Pipeline on: push: branches: [main, develop] pull_request: branches: [main] jobs: test: runs-on: ubuntu-latest strategy: matrix: python-version: ["3.10", "3.11", "3.12"] steps: - name: Checkout le code uses: actions/checkout@v4 - name: Configurer Python ${{ matrix.python-version }} uses: actions/setup-python@v5 with: python-version: ${{ matrix.python-version }} cache: "pip" - name: Installer les dépendances run: | python -m pip install --upgrade pip pip install -r requirements.txt pip install pytest pytest-cov ruff - name: Linting avec ruff run: ruff check . - name: Lancer les tests run: pytest --cov=src --cov-report=xml --cov-report=term-missing - name: Upload couverture uses: codecov/codecov-action@v4 with: token: ${{ secrets.CODECOV_TOKEN }} deploy: needs: test runs-on: ubuntu-latest if: github.ref == 'refs/heads/main' && github.event_name == 'push' steps: - name: Déployer sur le VPS uses: appleboy/ssh-action@v1 with: host: ${{ secrets.VPS_HOST }} username: ${{ secrets.VPS_USER }} key: ${{ secrets.VPS_SSH_KEY }} script: | cd /var/www/votre-projet git pull origin main pip install -r requirements.txt sudo systemctl restart votre-projet

Les secrets VPS_HOST, VPS_USER, VPS_SSH_KEY et CODECOV_TOKEN se configurent dans GitHub : Settings → Secrets and variables → Actions → New repository secret. La clé SSH doit être au format PEM (pas le format OpenSSH) — générez-la avec ssh-keygen -t ed25519 -m PEM -f deploy_key.

Le code du projet : construire la fonctionnalité principale

Pour que le pipeline fonctionne, votre projet doit avoir ces fichiers minimum :

# requirements.txt
fastapi>=0.110.0
uvicorn>=0.29.0
pytest>=8.0.0
pytest-cov>=5.0.0
ruff>=0.4.0

# tests/test_app.py
from fastapi.testclient import TestClient
from src.app import app client = TestClient(app) def test_homepage(): response = client.get("/") assert response.status_code == 200 assert "Bienvenue" in response.json()["message"] def test_health_check(): response = client.get("/health") assert response.status_code == 200 assert response.json()["status"] == "ok"

# src/app.py
from fastapi import FastAPI app = FastAPI(title="Mon Projet", version="1.0.0") @app.get("/")
def homepage(): return {"message": "Bienvenue sur Mon Projet"} @app.get("/health")
def health_check(): return {"status": "ok"}

Le workflow teste votre code sur 3 versions de Python (3.10, 3.11, 3.12) en parallèle grâce à la matrix. Si tous les tests passent sur main, le job deploy se déclenche automatiquement et pousse le code sur votre VPS via SSH.

Tester et valider que ça fonctionne

# Committer et pousser le workflow
git add .github/workflows/ci.yml requirements.txt tests/ src/
git commit -m "Ajout du pipeline CI/CD avec GitHub Actions"
git push origin main

Allez sur https://github.com/votre-compte/votre-projet/actions — vous devez voir le workflow "CI/CD Pipeline" s'exécuter avec 3 jobs de test (un par version de Python) et 1 job de déploiement. Si un job échoue, cliquez dessus pour voir les logs détaillés. Erreur courante : "ModuleNotFoundError" → vérifiez que requirements.txt contient toutes les dépendances nécessaires. Si le déploiement échoue avec "Permission denied (publickey)" → vérifiez que le secret VPS_SSH_KEY contient la clé privée complète (y compris les lignes BEGIN/END).

Déployer et utiliser en production

Pour un déploiement plus robuste, ajoutez ces étapes au job deploy :

 - name: Vérifier la santé après déploiement run: | sleep 5 curl -f http://${{ secrets.VPS_HOST }}:8000/health || exit 1 - name: Rollback en cas d'échec if: failure() uses: appleboy/ssh-action@v1 with: host: ${{ secrets.VPS_HOST }} username: ${{ secrets.VPS_USER }} key: ${{ secrets.VPS_SSH_KEY }} script: | cd /var/www/votre-projet git reset --hard HEAD~1 sudo systemctl restart votre-projet

Pour limiter les coûts, ajoutez un timeout global dans le workflow : jobs: test: timeout-minutes: 15. Un job Python moyen consomme 3-5 minutes, soit environ 0,01 $ par push sur un dépôt privé. Pour surveiller la consommation, allez sur github.com/settings/billing.

Aller plus loin : 3 extensions concrètes

1. Ajouter un cache Docker pour accélérer les builds — Utilisez actions/cache@v4 avec path: ~/.cache/docker pour cacher les layers Docker entre les builds. Réduction du temps de build de 50% en moyenne. Ajoutez dans votre workflow : - uses: actions/cache@v4 with: path: ~/.cache/docker key: docker-${{ hashFiles('Dockerfile') }}.

2. Déployer automatiquement sur Vercel ou Railway — Remplacez le job deploy par uses: amondnet/vercel-action@v25 avec vercel-token: ${{ secrets.VERCEL_TOKEN }}. Pour Railway : uses: railwayapp/railway-action@v1 avec railway-token: ${{ secrets.RAILWAY_TOKEN }}. Voir docs.github.com/en/actions/deployment.

3. Ajouter un scan de sécurité avec Dependabot — Créez .github/dependabot.yml avec package-ecosystem: pip et schedule: interval: weekly. Dependabot ouvre automatiquement des PR pour les dépendances vulnérables. Voir docs.github.com/en/code-security/dependabot.