Add GitHub caller workflow for reusable code review #3
There are no files selected for viewing
| Original file line number | Diff line number | Diff line change | ||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| @@ -0,0 +1,22 @@ | ||||||||||||||||||||||||||||||||||||||||||||||||||||
| name: Code Review | ||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||
| on: | ||||||||||||||||||||||||||||||||||||||||||||||||||||
| pull_request: | ||||||||||||||||||||||||||||||||||||||||||||||||||||
| types: [opened, ready_for_review, reopened, synchronize] | ||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||
| permissions: | ||||||||||||||||||||||||||||||||||||||||||||||||||||
| actions: read | ||||||||||||||||||||||||||||||||||||||||||||||||||||
| contents: read | ||||||||||||||||||||||||||||||||||||||||||||||||||||
| id-token: write | ||||||||||||||||||||||||||||||||||||||||||||||||||||
| issues: write | ||||||||||||||||||||||||||||||||||||||||||||||||||||
| pull-requests: write | ||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||
| jobs: | ||||||||||||||||||||||||||||||||||||||||||||||||||||
| code-review: | ||||||||||||||||||||||||||||||||||||||||||||||||||||
| if: >- | ||||||||||||||||||||||||||||||||||||||||||||||||||||
| github.event.pull_request && | ||||||||||||||||||||||||||||||||||||||||||||||||||||
|
There was a problem hiding this comment.
Because this workflow only triggers on the
Suggested change
|
||||||||||||||||||||||||||||||||||||||||||||||||||||
| !github.event.pull_request.draft && | ||||||||||||||||||||||||||||||||||||||||||||||||||||
| github.event.pull_request.head.repo.full_name == github.repository | ||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Comment on lines
+7
to
+19
There was a problem hiding this comment. Permissions are granted at the workflow level, which applies to all jobs. Since this workflow currently has a single job that calls a reusable workflow, consider moving
Suggested change
|
||||||||||||||||||||||||||||||||||||||||||||||||||||
| uses: taptap/.github/.github/workflows/code-review.yml@main | ||||||||||||||||||||||||||||||||||||||||||||||||||||
|
There was a problem hiding this comment.
Reference Useful? React with 👍 / 👎. There was a problem hiding this comment.
Referencing an external reusable workflow at GitHub's own security hardening guide recommends pinning third-party actions/reusable workflows to a full commit SHA:
Suggested change
Replace There was a problem hiding this comment. The reusable workflow is referenced by a mutable ref (
Suggested change
|
||||||||||||||||||||||||||||||||||||||||||||||||||||
| secrets: | ||||||||||||||||||||||||||||||||||||||||||||||||||||
| ANTHROPIC_API_KEY: ${{ secrets.ANTHROPIC_API_KEY }} | ||||||||||||||||||||||||||||||||||||||||||||||||||||
There was a problem hiding this comment.
Choose a reason for hiding this comment
The reason will be displayed to describe this comment to others. Learn more.
id-token: writeis a highly privileged permissionid-token: writeallows the workflow to request an OIDC JWT from GitHub's token endpoint, which can be exchanged for credentials with cloud providers (AWS, GCP, Azure, etc.). Unlesstaptap/.github/.github/workflows/code-review.ymlexplicitly needs OIDC authentication, granting this permission unnecessarily widens the attack surface.If you've confirmed the upstream reusable workflow requires it, this is fine to keep. Otherwise consider removing it.