create-pull-request does not trigger CI

[qryxip]

peter-evans/create-pull-request#48
peter-evans/create-pull-request#48 (comment)

1. 推奨されている通り誰かのpersonal tokenを使う
2. PRが生成されたらwrite accessを持つ人が空コミットしてCIをトリガーする
3. とりあえずja-all-enabledにマージしてまずそうならrevertする

という方法がありますが3.でも良さそうな気がします。 尚on: scheduleでもしっかりとスキップされることを確認しています。

[qryxip]

あとこれ、READMEにちゃんと載ってた..

Note: If you want pull requests created by this action to trigger an on: pull_request workflow then you must use a Personal Access Token instead of the default GITHUB_TOKEN.
See this issue for further details.

[qryxip]

1. (と3.)のメリットとして、pascalgn/automerge-actionでマージまで自動化できそう、というのがありそうです。

[statiolake]

ありがとうございます。

ううむ。とりあえず私が空コミットするくらいは手間的には問題ないので、 (私が見るまでの時間差を許容してもらえれば) しばらくそういう形でやってみようかと思います。

確かに手間としては一番楽なのは 1 に見えますが、私がいまいちよく分かっていないせいかセキュリティ的にどうなんだろうと感じてしまいます。問題ないんですかね？

マージの自動化ができるかどうかは #47 のようなことがどれくらい必要になるかにかかってくる気がしています。あれは dep-tests.toml に関わってくるようなクレートが更新されたら毎回必要になるのでしょうか？

いずれにせよ atcoder-rust-resources の Wiki は手で編集しなければいけないので、マージくらいは手動でしてもよいかもしれませんね。

[qryxip]

下手をすれば春までかかりそうなので全自動にできないかなと思ってこのactionを追加したのですが、(さっきSlackにも書きましたが)昨日の時点でついにRustが作業シートに追加されたので2. or 3.で良いと思います。
次にdep-tests.tomlを編集する事態になる確率は低いと考えています。

あとは「不要/微妙なクレートを削る」作業が終わったら停止する予定で。

ちなみにpersonal tokenはwrite access権を持つ5(?)人がトリガしたCI内で、明示的にtokenを与えている部分(今回の場合token: ${{ secrets._ }}がかかっている部分)からのみ見えるはずです。つまりこのリポジトリのオーナーまたはcreate-pull-requestが悪意を持っていればアウト、持ってない場合は大丈夫なのではないかと思います。