自動マージが動かない問題がおそらく修正されます2

[umi1299]

内容

フォークしたリポジトリからPRが作成されたとき、Actionsのトリガーが pull_request の場合と pull_request_target の場合では実行コンテキストと secrets.GITHUB_TOKEN に付与されるアクセス許可が変わるそうです
アクセス許可が足りなくて実行に失敗していると思われるのでトリガーを pull_request_target に変更しました

参考: GitHub Actionのon: pull_requestとon: pull_request_targetの違いMEMO - Madogiwa Blog
ドキュメント: https://docs.github.com/ja/actions/using-workflows/events-that-trigger-workflows#pull_request_target

関連

• バージョンアップのPRが自動でマージされるようにする #8
• voicevox-preview 0.15.0-preview.5 #11 (comment)

その他

度々すみませんがマージと #11 のリベースを試していただきたいです🙇‍♂️

[Hiroshiba]

LGTM！！！

pull_request_targetですが、相当強力な権限を持つのでちょっとセキュリティ周りを気をつけたいと思います。
（悪用されるとGithubのsecretsが流出し、docker imageにウイルスを混入されてしまうなどがありえる）

まずこのファイルは外部ファイルの依存を絶たないといけなそうです。
npm installなどは極力避けるべきだと思います。

actions/checkoutはこちらのリポジトリがチェックアウトされるので、何かよからぬことをするファイルをインジェクションされることはなさそうです（悪意のあるコードがプルリク＆マージを通らない限りは）。

あとはこのファイルがそのような権限を持っているということを把握し続ける必要があります。
とりあえずファイル名にDANGEROUSをつけさせていただこうと思います！
正直これは結構難しいです。別の誰かがプルリクエスト送った時などにもし気づいたらご指摘いただけると･･･ 🙇
（例えばDANGEROUSとついているファイルが変更された時に、そのプルリクエストに対して自動で注意してくれるような別のworkflowがあってもいいかも･･･？）

[umi1299]

#17 (review)

@Hiroshiba
トリガーが pull_request_target のActionはマージ先のブランチに存在するものが実行されるので、それを考えると変なPRをマージすることがなければ大丈夫と思いました
自動マージも第三者からのPRに対しては働かないですし

ファイル名に DANGEROUS を付けること、了解致しました
トリガーを pull_request_target にしていると強い secrets.GITHUB_TOKEN が取れることと secrets.BUMP_CASK_TOKEN も流出したらまずそうなことを考えると、triage.yml と autobump.yml にも付けますかね？

[Hiroshiba]

あ、こちらのコメントを確認していませんでした！

triage.yml と autobump.yml にも付けますかね？

triage.ymlにもpull_request_targetが使われていたことを留意できていませんでした、ありがとうございます 🙇
こちらは確かに注意が必要だと思うので、↓のPRで勝手ながら追加させていただきました！

• Actionsのバージョンを固定する #20

autobumpの方はsecretsにアクセスしていますが、secretsへのアクセスが危ないのは結構わかるので大丈夫かなと思いました！
でもこのステップでは強めの権限が渡るので、気をつけないとですね･･･。

ちなみにsecretsへアクセスするにはautobump内のコードのようにコード内に書くか、あとはenv経由で明示的に与えないと使えないので、ステップ内で明示的に与えない限りは流出しない感じです。
あとはまあファイル全体として強い権限があるわけではない（たぶん･･･？）ので、autobumpはDANGEROUS無しでも大丈夫なのかなと思いました！