Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Use vim-jp bot app when running depup #813

Merged
merged 1 commit into from
Aug 6, 2024

Conversation

k-takata
Copy link
Member

@k-takata k-takata commented Jul 13, 2024

@k-takata k-takata force-pushed the use-vim-jp-bot-app-when-running-depup branch from 213fba3 to a481afe Compare July 13, 2024 11:23
@k-takata
Copy link
Member Author

vim-jp/vimdoc-ja-working#1598 が想定通り動作するのが確認できたので、こちらにもPRしておきます。
depupによるreviewdogの更新PRで、自動でworkflowが流れなかったのが自動で流れるようになります。

@tsuyoshicho
Copy link
Contributor

Personal Token じゃなくて App Token なので大丈夫だと思いますが、外部への取り出しを含めたセキュリティ麺が気になります。

@k-takata
Copy link
Member Author

k-takata commented Aug 5, 2024

セキュリティ麺が気になります。

App には Repository permissions として、以下の3項目を許可しています。

  • Contents: Read and write
  • Metadata (mandatory): Read-only
  • Pull requests: Read and write

App は (今のところ) vim-jp/vimdoc-ja-working と vim-jp/vital.vim にインストールしてありますので、仮に悪意のある人がPRを作ってそれを気付かずにメンバーの誰かがマージしてしまったとしても、影響を受けるリポジトリはこの2つに限定されるのではないかと思います。


ところで、macOSのCIが全部とWindowsも2件落ちているせいでマージできないのが気になります。
macOSはpipの更新時に error: externally-managed-environment というエラーになっていますが、venvを使うか --break-system-packages オプションを指定してpipを更新すればいいのですかね。
Windowsは #810 で解消されるのでしょうか。

@tsuyoshicho
Copy link
Contributor

了解です。

修正は、たぶんそうだとは思うのですが、ちょっと見れてません...

@k-takata k-takata force-pushed the use-vim-jp-bot-app-when-running-depup branch from a481afe to e53199b Compare August 6, 2024 02:17
Copy link
Member

@koron koron left a comment

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

問題はなさそう 👍

既に生成されたPATを使うよりも、より狭い権限の都度生成トークンのほうがセキュリティは向上することは疑いの余地がないので。

将来、他のPATも全廃できるともっと良さそう。

@koron koron merged commit b21bc0c into master Aug 6, 2024
24 checks passed
@koron koron deleted the use-vim-jp-bot-app-when-running-depup branch August 6, 2024 02:38
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Labels
None yet
Projects
None yet
Development

Successfully merging this pull request may close these issues.

3 participants