üî¥ Avanc√© | ‚è± 45 min | üîë Concepts : pre-commit, hooks, CI/CD integration

# 05 - Pre-commit Hooks et CI/CD

## Objectifs

- Comprendre les **Git hooks** et leur utilit√©
- Ma√Ætriser le framework **pre-commit**
- Configurer des hooks essentiels pour la qualit√© du code
- Int√©grer pre-commit dans un workflow CI/CD
- Cr√©er des hooks personnalis√©s

## Pr√©requis

- Git install√© et configur√©
- Connaissance de base de Git (commit, push, etc.)
- Familiarit√© avec ruff et mypy (voir notebook 01)

## 1. Qu'est-ce qu'un Git hook ?

Les **Git hooks** sont des scripts qui s'ex√©cutent automatiquement √† certains moments du workflow Git.

### Hooks les plus courants

| Hook | Quand ? | Utilisation |
|------|---------|-------------|
| `pre-commit` | Avant un commit | V√©rifier le style, formater le code |
| `commit-msg` | Avant d'enregistrer le message | Valider le format du message |
| `pre-push` | Avant un push | Ex√©cuter les tests |
| `post-merge` | Apr√®s un merge | Installer les d√©pendances |

### O√π sont les hooks ?

```bash
.git/hooks/
‚îú‚îÄ‚îÄ pre-commit.sample
‚îú‚îÄ‚îÄ pre-push.sample
‚îî‚îÄ‚îÄ ...
```

**Probl√®me** : Les hooks dans `.git/hooks/` ne sont pas versionn√©s !

**Solution** : Le framework **pre-commit** !

## 2. Pre-commit framework

**Pre-commit** est un framework qui g√®re les hooks Git de fa√ßon versionn√©e et partag√©e.

In [None]:
# Installation
!pip install pre-commit -q

In [None]:
# V√©rifier l'installation
!pre-commit --version

### Installation dans un projet Git

In [None]:
# Cr√©er un projet de d√©monstration
!mkdir -p demo_precommit
!cd demo_precommit && git init
print("Projet Git initialis√©")

In [None]:
%%writefile demo_precommit/.pre-commit-config.yaml
# Configuration pre-commit basique
repos:
  - repo: https://github.com/pre-commit/pre-commit-hooks
    rev: v4.5.0
    hooks:
      - id: trailing-whitespace
      - id: end-of-file-fixer
      - id: check-yaml
      - id: check-added-large-files

In [None]:
# Installer les hooks dans le projet
!cd demo_precommit && pre-commit install

## 3. Configuration .pre-commit-config.yaml

Le fichier `.pre-commit-config.yaml` d√©finit tous les hooks √† ex√©cuter.

In [None]:
%%writefile .pre-commit-config.yaml
# Configuration pre-commit compl√®te pour Python
repos:
  # Hooks g√©n√©riques
  - repo: https://github.com/pre-commit/pre-commit-hooks
    rev: v4.5.0
    hooks:
      # Supprime les espaces en fin de ligne
      - id: trailing-whitespace
      # Ajoute une ligne vide √† la fin des fichiers
      - id: end-of-file-fixer
      # V√©rifie la syntaxe YAML
      - id: check-yaml
      # V√©rifie la syntaxe JSON
      - id: check-json
      # V√©rifie la syntaxe TOML
      - id: check-toml
      # D√©tecte les gros fichiers (> 500KB par d√©faut)
      - id: check-added-large-files
        args: ['--maxkb=500']
      # D√©tecte les cl√©s priv√©es commit√©es par erreur
      - id: detect-private-key
      # Emp√™che de commiter sur main/master
      - id: no-commit-to-branch
        args: ['--branch', 'main', '--branch', 'master']
      # V√©rifie les conflits de merge
      - id: check-merge-conflict
      # V√©rifie la syntaxe Python
      - id: check-ast
      # Fixe l'encoding des fichiers Python
      - id: fix-encoding-pragma
        args: ['--remove']

  # Ruff : linting et formatage
  - repo: https://github.com/astral-sh/ruff-pre-commit
    rev: v0.1.9
    hooks:
      # Linting
      - id: ruff
        args: [--fix, --exit-non-zero-on-fix]
      # Formatage
      - id: ruff-format

  # Mypy : v√©rification de types
  - repo: https://github.com/pre-commit/mirrors-mypy
    rev: v1.8.0
    hooks:
      - id: mypy
        additional_dependencies: [types-requests]

  # V√©rifications de s√©curit√©
  - repo: https://github.com/PyCQA/bandit
    rev: 1.7.6
    hooks:
      - id: bandit
        args: [-c, pyproject.toml]
        additional_dependencies: ["bandit[toml]"]

  # V√©rifier les requirements.txt
  - repo: https://github.com/pycqa/pip-audit
    rev: v2.6.3
    hooks:
      - id: pip-audit

## 4. Hooks essentiels pour Python

### 4.1 Trailing whitespace et end-of-file

In [None]:
%%writefile example_whitespace.py
# Fichier avec probl√®mes de formatting
def hello():    
    print("hello")    
    # Espaces en fin de ligne ci-dessus
# Pas de ligne vide √† la fin

### 4.2 Ruff (linting + formatting)

In [None]:
%%writefile example_ruff.py
# Code avec probl√®mes d√©tectables par ruff
import os
import sys

def mauvaise_fonction(x,y):
    unused_var = 42
    result=x+y
    return result

### 4.3 Mypy (type checking)

In [None]:
%%writefile example_mypy.py
# Code avec erreurs de types
def addition(a: int, b: int) -> int:
    return a + b

# Erreur de type d√©tectable par mypy
result = addition(5, "10")  # str au lieu de int

### 4.4 D√©tection de secrets

In [None]:
%%writefile example_secret.py
# ‚ö†Ô∏è DANGER : Code avec cl√© priv√©e
API_KEY = "sk_live_1234567890abcdefghij"  # Sera d√©tect√©
PASSWORD = "super_secret_password_123"   # Sera d√©tect√©

# ‚úÖ BON : Utiliser des variables d'environnement
import os
API_KEY = os.getenv("API_KEY")

## 5. Ex√©cution des hooks

### Commandes pre-commit

In [None]:
%%writefile demo_file.py
import os
import sys

def test():    
    unused = 42
    print("test")

In [None]:
# Ex√©cuter les hooks sur tous les fichiers
!pre-commit run --all-files

In [None]:
# Ex√©cuter un hook sp√©cifique
!pre-commit run ruff --all-files

In [None]:
# Ex√©cuter seulement sur les fichiers stag√©s (comportement par d√©faut)
# pre-commit run

### Workflow typique

```bash
# 1. Modifier du code
vim mon_fichier.py

# 2. Stager les changements
git add mon_fichier.py

# 3. Commiter (les hooks s'ex√©cutent automatiquement)
git commit -m "Mon message"

# Si un hook √©choue :
# - Le commit est annul√©
# - Les fichiers sont modifi√©s automatiquement (si possible)
# - Vous devez re-stager et re-commiter

# 4. Re-stager apr√®s correction automatique
git add mon_fichier.py

# 5. Re-commiter
git commit -m "Mon message"
```

## 6. pre-commit autoupdate

Mettre √† jour automatiquement les versions des hooks.

In [None]:
# Mettre √† jour toutes les r√©visions
!pre-commit autoupdate

Cela met √† jour le fichier `.pre-commit-config.yaml` avec les derni√®res versions disponibles.

## 7. Hooks personnalis√©s

Vous pouvez cr√©er vos propres hooks locaux.

In [None]:
%%writefile .pre-commit-config-custom.yaml
repos:
  # Hooks locaux personnalis√©s
  - repo: local
    hooks:
      # V√©rifier qu'il n'y a pas de print() dans le code
      - id: no-print-statements
        name: D√©tecte les print()
        entry: python -c "import sys; sys.exit(any('print(' in line for line in open(f).readlines()) for f in sys.argv[1:])"
        language: system
        files: \.py$
      
      # V√©rifier que les tests sont pr√©sents
      - id: ensure-tests-exist
        name: V√©rifie qu'un fichier test existe
        entry: ./scripts/check_tests.sh
        language: script
        files: \.py$
        pass_filenames: false
      
      # Ex√©cuter pytest avant commit
      - id: pytest-check
        name: Ex√©cute pytest
        entry: pytest
        language: system
        pass_filenames: false
        always_run: true

In [None]:
%%writefile scripts/check_tests.sh
#!/bin/bash
# Script pour v√©rifier la pr√©sence de tests

# Compter les fichiers Python (hors tests)
py_files=$(find . -name "*.py" -not -path "*/test_*" -not -path "*/tests/*" | wc -l)

# Compter les fichiers de tests
test_files=$(find . -name "test_*.py" -o -path "*/tests/*.py" | wc -l)

if [ $test_files -eq 0 ] && [ $py_files -gt 0 ]; then
    echo "‚ùå Aucun fichier de test trouv√© !"
    exit 1
fi

echo "‚úÖ Fichiers de tests pr√©sents ($test_files fichiers)"
exit 0

## 8. Int√©gration CI/CD : GitHub Actions

Ex√©cuter pre-commit dans votre pipeline CI/CD.

In [None]:
%%writefile .github/workflows/pre-commit.yml
name: Pre-commit Checks

on:
  push:
    branches: [main, develop]
  pull_request:
    branches: [main, develop]

jobs:
  pre-commit:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
      
      - name: Set up Python
        uses: actions/setup-python@v5
        with:
          python-version: '3.11'
      
      - name: Install pre-commit
        run: pip install pre-commit
      
      - name: Run pre-commit
        run: pre-commit run --all-files

### Workflow CI/CD complet

In [None]:
%%writefile .github/workflows/ci.yml
name: CI

on:
  push:
    branches: [main]
  pull_request:
    branches: [main]

jobs:
  pre-commit:
    name: Pre-commit hooks
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
      - uses: actions/setup-python@v5
        with:
          python-version: '3.11'
      - uses: pre-commit/action@v3.0.0

  tests:
    name: Tests (Python ${{ matrix.python-version }})
    runs-on: ubuntu-latest
    strategy:
      matrix:
        python-version: ['3.9', '3.10', '3.11']
    
    steps:
      - uses: actions/checkout@v4
      
      - name: Set up Python ${{ matrix.python-version }}
        uses: actions/setup-python@v5
        with:
          python-version: ${{ matrix.python-version }}
      
      - name: Install dependencies
        run: |
          python -m pip install --upgrade pip
          pip install -e ".[dev]"
      
      - name: Run tests with coverage
        run: |
          pytest --cov=src --cov-report=xml --cov-report=term
      
      - name: Upload coverage to Codecov
        uses: codecov/codecov-action@v3
        with:
          file: ./coverage.xml
          fail_ci_if_error: true

  security:
    name: Security checks
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
      - uses: actions/setup-python@v5
        with:
          python-version: '3.11'
      
      - name: Run bandit
        run: |
          pip install bandit[toml]
          bandit -r src/ -c pyproject.toml
      
      - name: Run safety
        run: |
          pip install safety
          safety check

## 9. Configuration avanc√©e

### Exclure des fichiers

In [None]:
%%writefile .pre-commit-config-exclude.yaml
repos:
  - repo: https://github.com/astral-sh/ruff-pre-commit
    rev: v0.1.9
    hooks:
      - id: ruff
        # Exclure certains fichiers
        exclude: '^(migrations/|tests/fixtures/)'
      
      - id: ruff-format
        # Exclure par pattern
        exclude: '.*_pb2\.py$'  # Fichiers protobuf g√©n√©r√©s

### Arguments personnalis√©s

In [None]:
%%writefile .pre-commit-config-args.yaml
repos:
  - repo: https://github.com/astral-sh/ruff-pre-commit
    rev: v0.1.9
    hooks:
      - id: ruff
        args:
          - --fix
          - --exit-non-zero-on-fix
          - --select=E,W,F,I
  
  - repo: https://github.com/pre-commit/mirrors-mypy
    rev: v1.8.0
    hooks:
      - id: mypy
        args:
          - --strict
          - --ignore-missing-imports

## Pi√®ges courants

### 1. Abus de --no-verify

```bash
# ‚ùå MAUVAIS : Bypasser syst√©matiquement les hooks
git commit --no-verify -m "Quick fix"

# ‚úÖ BON : Utiliser --no-verify seulement en cas d'urgence
# Et cr√©er un ticket pour corriger le probl√®me
```

### 2. Hooks trop lents

```yaml
# ‚ùå MAUVAIS : Ex√©cuter tous les tests √† chaque commit
- repo: local
  hooks:
    - id: pytest-all
      name: Run all tests
      entry: pytest tests/  # Peut prendre 10 minutes !
      language: system

# ‚úÖ BON : Tests rapides en pre-commit, tests complets en CI
- repo: local
  hooks:
    - id: pytest-fast
      name: Run fast tests only
      entry: pytest tests/ -m "not slow"
      language: system
```

### 3. Conflits avec la CI

```bash
# ‚ùå PROBL√àME : pre-commit passe localement mais √©choue en CI
# Cause : versions diff√©rentes des outils

# ‚úÖ SOLUTION : Utiliser les m√™mes versions
# 1. Fixer les versions dans .pre-commit-config.yaml
# 2. Utiliser pre-commit autoupdate r√©guli√®rement
# 3. Ex√©cuter pre-commit en CI avec la m√™me config
```

### 4. Oublier de partager les hooks

```bash
# ‚ùå PROBL√àME : Nouveaux d√©veloppeurs n'ont pas les hooks

# ‚úÖ SOLUTION : Documentation dans README.md
# "## Installation
# pip install pre-commit
# pre-commit install
# "

# Ou script d'installation automatique
```

## Mini-Exercices

### Exercice 1 : Configurer pre-commit pour un projet

Cr√©ez une configuration `.pre-commit-config.yaml` qui :
- Utilise ruff pour le linting et le formatage
- Utilise mypy pour le type checking
- V√©rifie les trailing whitespace
- D√©tecte les gros fichiers (> 1MB)
- Emp√™che de commiter sur main

In [None]:
# Votre configuration ici


### Exercice 2 : Cr√©er un hook personnalis√©

Cr√©ez un hook local qui v√©rifie que tous les fichiers Python ont un docstring.

In [None]:
# Votre hook ici


### Exercice 3 : GitHub Actions workflow

Cr√©ez un workflow GitHub Actions qui ex√©cute pre-commit sur toutes les PR.

In [None]:
# Votre workflow ici


## Solutions

### Solution Exercice 1

In [None]:
%%writefile .pre-commit-config-ex1.yaml
repos:
  - repo: https://github.com/pre-commit/pre-commit-hooks
    rev: v4.5.0
    hooks:
      - id: trailing-whitespace
      - id: end-of-file-fixer
      - id: check-added-large-files
        args: ['--maxkb=1024']  # 1MB
      - id: no-commit-to-branch
        args: ['--branch', 'main']

  - repo: https://github.com/astral-sh/ruff-pre-commit
    rev: v0.1.9
    hooks:
      - id: ruff
        args: [--fix, --exit-non-zero-on-fix]
      - id: ruff-format

  - repo: https://github.com/pre-commit/mirrors-mypy
    rev: v1.8.0
    hooks:
      - id: mypy
        args: [--strict]

### Solution Exercice 2

In [None]:
%%writefile check_docstrings.py
#!/usr/bin/env python3
"""V√©rifie que tous les fichiers Python ont un docstring."""
import ast
import sys

def check_docstring(filename):
    """V√©rifie qu'un fichier a un docstring."""
    with open(filename, 'r') as f:
        try:
            tree = ast.parse(f.read())
        except SyntaxError:
            return True  # Ignore syntax errors (handled by other tools)
    
    # V√©rifier le docstring du module
    docstring = ast.get_docstring(tree)
    if not docstring:
        print(f"‚ùå {filename}: manque un docstring de module")
        return False
    
    return True

def main():
    """Point d'entr√©e."""
    files = sys.argv[1:]
    all_good = all(check_docstring(f) for f in files)
    sys.exit(0 if all_good else 1)

if __name__ == "__main__":
    main()

In [None]:
%%writefile .pre-commit-config-ex2.yaml
repos:
  - repo: local
    hooks:
      - id: check-docstrings
        name: V√©rifie les docstrings
        entry: python check_docstrings.py
        language: system
        files: \.py$
        exclude: '^tests/'

### Solution Exercice 3

In [None]:
%%writefile .github/workflows/pre-commit-ex3.yml
name: Pre-commit

on:
  pull_request:
    branches: [main, develop]

jobs:
  pre-commit:
    name: Run pre-commit hooks
    runs-on: ubuntu-latest
    
    steps:
      - name: Checkout code
        uses: actions/checkout@v4
      
      - name: Set up Python
        uses: actions/setup-python@v5
        with:
          python-version: '3.11'
      
      - name: Cache pre-commit
        uses: actions/cache@v3
        with:
          path: ~/.cache/pre-commit
          key: pre-commit-${{ hashFiles('.pre-commit-config.yaml') }}
      
      - name: Run pre-commit
        uses: pre-commit/action@v3.0.0
      
      - name: Annotate with errors
        if: failure()
        run: |
          echo "::error::Pre-commit hooks failed. Please run 'pre-commit run --all-files' locally."