296 lines
10 KiB
JavaScript
296 lines
10 KiB
JavaScript
// scripts/gate-guard.js
|
||
// 铸渊·智能门禁·判定引擎
|
||
//
|
||
// 核心原则(冰朔 2026-03-16 确认):
|
||
// 仓库主人(repo_owner)的推送 → 永远放行,不拦截
|
||
// 其他所有非主人推送 → 按门禁系统拦截分流
|
||
//
|
||
// 输入:PUSH_ACTOR(推送者 GitHub username)+ /tmp/changed_files.txt
|
||
// 输出:action(pass/fix/revert)+ 相关信息 → GITHUB_OUTPUT
|
||
//
|
||
// 判定流程:
|
||
// 1. 读取门禁配置(两套配置合并)
|
||
// 2. 检查是否为仓库主人 → 直接放行
|
||
// 3. 检查是否为白名单用户 → 直接放行
|
||
// 4. 识别开发者身份 → 检查路径权限
|
||
// 5. 未注册开发者 → 拦截
|
||
|
||
const fs = require('fs');
|
||
const path = require('path');
|
||
|
||
// ━━━ 配置路径 ━━━
|
||
const BRAIN_CONFIG_PATH = path.join(__dirname, '../.github/persona-brain/gate-guard-config.json');
|
||
const OWNER_CONFIG_PATH = path.join(__dirname, '../.github/gate-guard-config.json');
|
||
const CHANGED_FILES_PATH = '/tmp/changed_files.txt';
|
||
const GITHUB_OUTPUT = process.env.GITHUB_OUTPUT || '/dev/null';
|
||
|
||
// ━━━ 仓库主人(冰朔确认)━━━
|
||
// 硬编码默认值,config.repo_owner 可覆盖此值
|
||
const REPO_OWNER = 'qinfendebingshuo';
|
||
|
||
// ━━━ 安全读取 JSON ━━━
|
||
function readJSON(filePath) {
|
||
try {
|
||
if (!fs.existsSync(filePath)) return null;
|
||
return JSON.parse(fs.readFileSync(filePath, 'utf8'));
|
||
} catch (e) {
|
||
console.error(`⚠️ 无法读取 ${path.basename(filePath)}: ${e.message}`);
|
||
return null;
|
||
}
|
||
}
|
||
|
||
// ━━━ 加载合并配置 ━━━
|
||
function loadConfig() {
|
||
const brainConfig = readJSON(BRAIN_CONFIG_PATH);
|
||
const ownerConfig = readJSON(OWNER_CONFIG_PATH);
|
||
|
||
if (!brainConfig && !ownerConfig) {
|
||
console.error('⚠️ 两套门禁配置均缺失');
|
||
return null;
|
||
}
|
||
|
||
// 以 persona-brain 配置为主体,合并 owner 配置中的信息
|
||
const config = brainConfig || {
|
||
whitelist_actors: [],
|
||
system_protected_paths: [],
|
||
developer_permissions: {}
|
||
};
|
||
|
||
// 确保仓库主人在白名单中
|
||
if (!config.whitelist_actors) config.whitelist_actors = [];
|
||
// 从配置中读取 repo_owner,或使用硬编码默认值
|
||
const repoOwner = config.repo_owner || REPO_OWNER;
|
||
if (!config.whitelist_actors.includes(repoOwner)) {
|
||
config.whitelist_actors.push(repoOwner);
|
||
}
|
||
config.repo_owner = repoOwner;
|
||
|
||
// 从 owner 配置(冰朔确认版)合并白名单和开发者映射
|
||
if (ownerConfig) {
|
||
// 合并白名单
|
||
const ownerWhitelist = ownerConfig.whitelist || [];
|
||
for (const user of ownerWhitelist) {
|
||
if (!config.whitelist_actors.includes(user)) {
|
||
config.whitelist_actors.push(user);
|
||
}
|
||
}
|
||
|
||
// 从冰朔确认版开发者映射中提取信息
|
||
// key 为 GitHub 用户名,可直接用于 actor 匹配
|
||
if (ownerConfig.developers) {
|
||
config._owner_developers = ownerConfig.developers;
|
||
}
|
||
}
|
||
|
||
return config;
|
||
}
|
||
|
||
// ━━━ 读取变更文件列表 ━━━
|
||
function loadChangedFiles() {
|
||
try {
|
||
const content = fs.readFileSync(CHANGED_FILES_PATH, 'utf8').trim();
|
||
if (!content) return [];
|
||
return content.split('\n').map(f => f.trim()).filter(f => f !== '');
|
||
} catch (e) {
|
||
console.error('⚠️ 无法读取变更文件列表:', e.message);
|
||
return [];
|
||
}
|
||
}
|
||
|
||
// ━━━ 查找开发者权限(双配置源查找) ━━━
|
||
function findDeveloper(config, actor) {
|
||
if (!config) return null;
|
||
|
||
// 1. 先从 persona-brain 配置(DEV-ID 索引)中按 github_usernames 查找
|
||
if (config.developer_permissions) {
|
||
for (const [devId, dev] of Object.entries(config.developer_permissions)) {
|
||
if (dev.github_usernames && dev.github_usernames.includes(actor)) {
|
||
return { devId, ...dev };
|
||
}
|
||
}
|
||
}
|
||
|
||
// 2. 再从冰朔确认版配置(GitHub 用户名索引)中查找
|
||
if (config._owner_developers && config._owner_developers[actor]) {
|
||
const dev = config._owner_developers[actor];
|
||
return {
|
||
devId: dev.dev_id,
|
||
name: dev.name,
|
||
allowed_paths: dev.allowed_paths || [],
|
||
github_usernames: [actor]
|
||
};
|
||
}
|
||
|
||
return null;
|
||
}
|
||
|
||
// ━━━ 检查文件是否在系统保护路径 ━━━
|
||
function isProtectedPath(filePath, protectedPaths) {
|
||
return protectedPaths.some(p => {
|
||
if (p.endsWith('/')) {
|
||
return filePath.startsWith(p);
|
||
}
|
||
return filePath === p;
|
||
});
|
||
}
|
||
|
||
// ━━━ 检查文件是否在允许路径 ━━━
|
||
function isAllowedPath(filePath, allowedPaths) {
|
||
if (!allowedPaths || allowedPaths.length === 0) return false;
|
||
return allowedPaths.some(p => {
|
||
if (p.endsWith('/')) {
|
||
return filePath.startsWith(p);
|
||
}
|
||
return filePath === p;
|
||
});
|
||
}
|
||
|
||
// ━━━ 输出到 GITHUB_OUTPUT ━━━
|
||
function setOutput(key, value) {
|
||
try {
|
||
fs.appendFileSync(GITHUB_OUTPUT, `${key}=${value}\n`);
|
||
} catch (e) {
|
||
// Fallback for local testing
|
||
console.log(`::set-output name=${key}::${value}`);
|
||
}
|
||
}
|
||
|
||
// ━━━ 主判定逻辑 ━━━
|
||
function main() {
|
||
const actor = process.env.PUSH_ACTOR || '';
|
||
console.log(`🚦 铸渊·智能门禁 · 判定引擎启动`);
|
||
console.log(` 推送者: ${actor}`);
|
||
|
||
// 0. 仓库主人 → 永远放行(冰朔确认原则)
|
||
// 优先使用 config.repo_owner,回退到硬编码 REPO_OWNER
|
||
if (actor === REPO_OWNER) {
|
||
console.log(`👑 ${actor} 是仓库主人,直接放行`);
|
||
setOutput('action', 'pass');
|
||
setOutput('notification', `仓库主人 ${actor} 放行`);
|
||
return;
|
||
}
|
||
|
||
// 1. 读取配置
|
||
const config = loadConfig();
|
||
if (!config) {
|
||
console.log('⚠️ 配置文件缺失,默认放行');
|
||
setOutput('action', 'pass');
|
||
setOutput('notification', '门禁配置缺失,默认放行');
|
||
return;
|
||
}
|
||
|
||
// 2. 读取变更文件
|
||
const changedFiles = loadChangedFiles();
|
||
if (changedFiles.length === 0) {
|
||
console.log('ℹ️ 无变更文件,放行');
|
||
setOutput('action', 'pass');
|
||
setOutput('notification', '无变更文件');
|
||
return;
|
||
}
|
||
console.log(` 变更文件 (${changedFiles.length}):`);
|
||
changedFiles.forEach(f => console.log(` - ${f}`));
|
||
|
||
// 3. 检查是否为白名单用户(系统bot、管理员等)
|
||
if (config.whitelist_actors && config.whitelist_actors.includes(actor)) {
|
||
console.log(`✅ ${actor} 在白名单中,直接放行`);
|
||
setOutput('action', 'pass');
|
||
setOutput('notification', `白名单用户 ${actor} 放行`);
|
||
return;
|
||
}
|
||
|
||
// 4. 查找开发者身份
|
||
const developer = findDeveloper(config, actor);
|
||
const protectedPaths = config.system_protected_paths || [];
|
||
|
||
// 5. 分类文件
|
||
const protectedViolations = [];
|
||
const allowedFiles = [];
|
||
const disallowedFiles = [];
|
||
|
||
for (const file of changedFiles) {
|
||
if (isProtectedPath(file, protectedPaths)) {
|
||
protectedViolations.push(file);
|
||
} else if (developer && isAllowedPath(file, developer.allowed_paths)) {
|
||
allowedFiles.push(file);
|
||
} else if (developer) {
|
||
disallowedFiles.push(file);
|
||
} else {
|
||
// 未注册开发者 - 非保护路径也标记为越权
|
||
disallowedFiles.push(file);
|
||
}
|
||
}
|
||
|
||
console.log(`\n📊 判定结果:`);
|
||
console.log(` 系统保护路径违规: ${protectedViolations.length}`);
|
||
console.log(` 允许路径文件: ${allowedFiles.length}`);
|
||
console.log(` 越权路径文件: ${disallowedFiles.length}`);
|
||
|
||
// 6. 判定行动
|
||
if (protectedViolations.length > 0) {
|
||
// 触碰系统保护路径 → 回退
|
||
const msg = `⛔ 系统保护路径违规 · 推送者: ${actor}\n\n` +
|
||
`以下文件属于系统保护路径,合作者不可修改:\n` +
|
||
protectedViolations.map(f => `- \`${f}\``).join('\n') +
|
||
`\n\n该 commit 已被自动回退。请联系管理员。`;
|
||
|
||
console.log('❌ 判定: revert(系统保护路径违规)');
|
||
setOutput('action', 'revert');
|
||
setOutput('notification', msg.replace(/\n/g, '%0A'));
|
||
setOutput('violation_type', 'system_protected');
|
||
setOutput('violation_files', protectedViolations.join(','));
|
||
return;
|
||
}
|
||
|
||
if (disallowedFiles.length > 0 && allowedFiles.length === 0) {
|
||
// 全部文件都在越权路径 → 回退
|
||
const devInfo = developer
|
||
? `已注册开发者 ${developer.name}(${developer.devId})`
|
||
: `未注册开发者`;
|
||
const allowedInfo = developer && developer.allowed_paths.length > 0
|
||
? `允许路径: ${developer.allowed_paths.join(', ')}`
|
||
: '无已分配路径';
|
||
|
||
const msg = `⚠️ 路径越权 · 推送者: ${actor} · ${devInfo}\n\n` +
|
||
`${allowedInfo}\n\n` +
|
||
`以下文件不在你的允许路径内:\n` +
|
||
disallowedFiles.map(f => `- \`${f}\``).join('\n') +
|
||
`\n\n该 commit 已被自动回退。请确认你的模块路径。`;
|
||
|
||
console.log('❌ 判定: revert(全部越权)');
|
||
setOutput('action', 'revert');
|
||
setOutput('notification', msg.replace(/\n/g, '%0A'));
|
||
setOutput('violation_type', 'path_unauthorized');
|
||
setOutput('violation_files', disallowedFiles.join(','));
|
||
return;
|
||
}
|
||
|
||
if (disallowedFiles.length > 0 && allowedFiles.length > 0) {
|
||
// 部分文件越权,部分合法 → 回退整个 commit(不做部分修复,避免复杂性)
|
||
const devName = developer ? `${developer.name}(${developer.devId})` : `未注册开发者`;
|
||
const devPaths = developer && developer.allowed_paths ? developer.allowed_paths.join(', ') : '无';
|
||
const msg = `⚠️ 部分路径越权 · 推送者: ${actor} · ${devName}\n\n` +
|
||
`允许路径: ${devPaths}\n\n` +
|
||
`✅ 合法文件:\n` + allowedFiles.map(f => `- \`${f}\``).join('\n') + '\n\n' +
|
||
`❌ 越权文件:\n` + disallowedFiles.map(f => `- \`${f}\``).join('\n') +
|
||
`\n\n该 commit 已被自动回退。请将越权文件移除后重新提交。`;
|
||
|
||
console.log('❌ 判定: revert(部分越权)');
|
||
setOutput('action', 'revert');
|
||
setOutput('notification', msg.replace(/\n/g, '%0A'));
|
||
setOutput('violation_type', 'partial_unauthorized');
|
||
setOutput('violation_files', disallowedFiles.join(','));
|
||
return;
|
||
}
|
||
|
||
// 全部文件在允许路径内 → 放行
|
||
if (developer) {
|
||
console.log(`✅ 判定: pass · ${developer.name}(${developer.devId}) · 全部文件合法`);
|
||
} else {
|
||
console.log(`✅ 判定: pass · 未注册开发者 ${actor} · 未修改保护路径`);
|
||
}
|
||
setOutput('action', 'pass');
|
||
setOutput('notification', `${actor} 的 push 已通过门禁检查`);
|
||
}
|
||
|
||
main();
|