chore(ci): add Qoder AI workflows#1397
Conversation
6b35591 to
533c184
Compare
77295f8 to
cdf0b00
Compare
|
重新看了最新 head(
建议给 Qoder steps 使用 per-run HOME,例如
建议创建后加类似: trap 'rm -f "${prompt_file:-}" "${files_file:-}"' EXITassistant workflow 至少需要清理 验证:已重新 fetch 最新 PR head, |
|
@ikunkun-sys fresh |
yangdao479
left a comment
There was a problem hiding this comment.
-
qoder-assistant的触发条件是 comment body 包含@qoder或以/qoder开头。这个逻辑可用,但contains(..., '@qoder')可能导致成员在普通讨论或引用文本中误触发。建议后续收敛成首行命令匹配,例如只接受首行/qoder ...或@qoder ...。 -
id-token: write仍然存在于 Qoder workflows 中。当前 Qoder Action 已通过QODER_PERSONAL_ACCESS_TOKEN认证,如果不需要 OIDC,建议删除该权限;如果确实需要,请补充说明 OIDC 的用途、audience 和外部 trust policy 限制。AI agent 场景下应尽量最小化 token 能力。 -
qoder-smoke.yml在 PR 描述中被称为 temporary smoke workflow,但它会随 PR 合入 main,并保留workflow_dispatch。如果它只是临时验证用,建议合入前删除;如果要长期保留,建议把 PR 描述改成正式 smoke workflow,并明确其触发策略和维护目的。
|
@yangdao479 thx,13已修复,第二点这里:这个权限我保留了,因为当前 pinned Qoder Action 会依赖 GitHub OIDC:先请求 audience 为 我已经在两个实际执行 Qoder 的 job 上补了注释说明这个流程,并且只在 Qoder 执行 job 上授予 外部 trust policy 的约束需要由 Qoder 的 token exchange 服务端校验,例如 audience、repository、workflow/ref 等 claims。workflow 侧能做的是把权限收敛到实际需要 OIDC 的 job,并明确记录用途。 |
Summary
anolisa-agent-review.pull_request_targetand manual review viaworkflow_dispatch.@qoderor/qoder.write|maintain|adminpermission before running Qoder.AGENTS.mdand anyAGENTS.mdfiles found in changed-file ancestor directories.HOMEto avoid sharing$HOME/.qoder.jsonor$HOME/.local/binacross concurrent self-hosted jobs.no-issue: CI workflow setup for member-gated AI review.
Safety Notes
pull_request_target.0881d27d15a7a93778ebc5c942d11da313ee8b7e.@qoderor/qoderand the commenter hasOWNER,MEMBER, orCOLLABORATORassociation.$GITHUB_OUTPUT.persist-credentials: false; the Qoder action still receives its own scoped token through the pinned action flow.id-token: writeis required by Qoder Action to request a GitHub OIDC token with audienceqoder-action, then exchange it withQODER_PERSONAL_ACCESS_TOKENfor a short-lived Qoder GitHub App installation token.Validation
git diff --check.anolisa-agent-reviewlabel.