Open24日前にコメント追加9

autofix.ci を試す

https://autofix.ci/
https://github.com/autofix-ci/action
https://github.com/suzuki-shunsuke/test-autofix-ci
GitHub App をインストール
必要な権限
Read access to metadata
Read and write access to actions, checks, code, and pull requests
--
metadata:read
actions:write
checks:write
contents:write
pull_requests:write
単にコードを修正するだけであれば不要な権限も要求されている。

contents:write だけで十分なはずでは？

Shunsuke Suzuki

Error: For security reasons, the workflow in which the autofix.ci action is used must be named "autofix.ci".

workflow 名に制約がかかるのか？

Shunsuke Suzuki

修正された
https://github.com/suzuki-shunsuke/test-autofix-ci/pull/2/commits/4eb9c3aa74aa0390ce4c490f025c3e329635d895
ちゃんと署名されている。

Shunsuke Suzuki

逆に workflow file を update する権限がない気がする。つまり workflow の更新はできないのでは？
まぁセキュリティ的な制約として妥当といえば妥当

Workflows
Update GitHub Action workflow files.

Shunsuke Suzuki

やはり失敗した

Error: The autofix.ci action is not allowed to modify the .github directory.

.github directory なので workflow 以外も許可されてないのかもしれない。

Shunsuke Suzuki

pull_requests:write に関しては PR にコメントする機能があってそれのためかもしれない。

ただコメントが不要な場合は余計な権限ということになるが、権限を選ぶことはできないのでやむなし。
https://github.com/autofix-ci/action/issues/7#issuecomment-1752019960
https://github.com/autofix-ci/action/blob/ff86a557419858bb967097bfc916833f5647fa8c/action.yml#L17-L19

Shunsuke Suzuki

permission に関して質問

Shunsuke Suzuki

workflow name の制約に関して質問

Shunsuke Suzuki

autofix.ci という artifact を upload し、 App は workflow run が完了後にその artifact をダウンロードして commit を生成しているらしい。
https://github.com/suzuki-shunsuke/test-autofix-ci/actions/runs/11640353879