fix: remove workflow-level env block exposing AK/SK secrets in deploy-cdn.yml

[Copilot]

English | 简体中文

PR

PR Checklist

请检查您的 PR 是否满足以下要求：

• commit message遵循我们的提交贡献指南
• 添加了更改内容的测试用例（用于bugfix/功能）
• 文档已添加/更新（用于bugfix/功能）
• 是否构建了自己的设计器，经过了充分的自验证

PR 类型

这个PR的类型是？

• 日常 bug 修复
• 新特性支持
• 代码风格优化
• 重构
• 构建优化
• 测试用例
• 文档更新
• 分支合并
• 其他改动（安全修复）

需求背景和解决方案

deploy-cdn.yml 的顶层 env: 块将华为云 AK/SK、Endpoint、Bucket 等敏感密钥提升为工作流级别的进程环境变量，使其暴露给所有 job 和 step，存在泄露风险。

变更内容：

• 删除顶层 env: 块，消除四个 secret 的全局环境变量映射：

  # 删除
  env:
    HUAWEI_CLOUD_AK: ${{ secrets.HUAWEI_CLOUD_AK }}
    HUAWEI_CLOUD_SK: ${{ secrets.HUAWEI_CLOUD_SK }}
    HUAWEI_CLOUD_ENDPOINT: ${{ secrets.HUAWEI_CLOUD_ENDPOINT }}
    HUAWEI_CLOUD_BUCKET: ${{ secrets.HUAWEI_CLOUD_BUCKET }}

• 替换 deploy-cdn job 中所有 ${{ env.HUAWEI_CLOUD_* }} 引用，改为直接引用 ${{ secrets.HUAWEI_CLOUD_* }}，仅在 obsutil config 和上传命令处按需展开，不写入进程环境。

check-secrets job 原本已直接使用 secrets.*，无需改动。

修改前

AK/SK 作为工作流环境变量存在于所有 job 的进程环境中，任意 step（包括第三方 action）均可读取。

修改后

AK/SK 仅在 deploy-cdn job 的单一 step 中按需展开，GitHub Actions 自动 mask，不写入环境，缩小了泄露面。

此PR是否含有 breaking change?

• 是
• 否

Other information

N/A