Digger (OpenTaco)

拒絕第二套 CI 系統：讓您的 Terraform 在既有流程中跑起來

• 零額外運算負擔: 不同於 Terraform Cloud 或 Spacelift 需要獨立的 Runner，Digger 直接在您現有的 GitHub Actions、GitLab CI 或 Azure DevOps 中運行，充分復用既有的計算資源。
• 極致的安全設計: 雲端存取憑證（Secrets）始終保留在您的 CI 環境內，無需共享給第三方服務商，從根本上杜絕了密鑰外洩的風險。
• 鎖定機制與衝突預防: 內建 PR 層級的鎖定機制（Locks），防止多個 Pull Request 同時修改同一塊基礎設施而導致的狀態衝突。

主要功能、特點

• 介紹: Digger 是一款開源的 IaC 編排工具，它將 Terraform 或 OpenTofu 的執行邏輯與 CI/CD 流程深度整合。透過 Digger，開發團隊可以在 PR 評論中直接執行 plan 與 apply，實現透明且可協作的基礎設施變更。

• 特色服務:

  • OPA 策略整合: 支援 Open Policy Agent，可設定自動化合規檢查，例如：「禁止建立未加密的 S3 儲存桶」。
  • 漂移檢測 (Drift Detection): 自動監控實際雲端資源與代碼定義之間的差異，並即時發出警報。
  • Terragrunt 支援: 原生相容 Terragrunt 與 Workspaces，滿足複雜的大型多模組架構需求。
  • 視覺化儀表板: 提供輕量化的管理後台，方便檢視歷史運行記錄、鎖定狀態與 drift 報告。

核心指令範例

在 Pull Request 的評論中輸入以下指令即可觸發自動化：

digger plan  # 產生基礎設施變更計畫
digger apply # 執行變更並同步狀態
digger unlock # 手動解除卡住的 PR 鎖定

為什麼推薦 Digger？

在 OSS軟體清單_2025 中，我們鼓勵「簡單且安全」的架構。Digger (OpenTaco) 的哲學是「Bring your own compute」，這不僅節省了昂貴的 SaaS 訂閱費用，更讓企業能 100% 掌控自己的數據主權。如果您已經在使用 GitHub Actions 或 GitLab，Digger 是將運維流程轉向 GitOps 的最快捷徑。