fix: Artificer GitHub SSH absolute-path git fetch
This commit is contained in:
@@ -204,7 +204,7 @@ Secret 创建和轮换不由 source branch 自动生成;source branch 只声
|
||||
- 写入对象固定为 `agentrun-v01/agentrun-v01-tool-github-ssh`,keys 固定为 `id_ed25519`、`known_hosts`、`config`。
|
||||
- CLI dry-run 只显示输入文件 bytes、SecretRef、key 列表和确认命令,不输出文件内容。
|
||||
- manager upsert Secret 只返回 resourceVersion、hash suffix、SecretRef 和 redaction 状态,不输出 `data`、`stringData`、private key、known_hosts 或 config 明文。
|
||||
- `config` 缺省为只允许 `github.com` 走 `ssh.github.com:443`、`IdentityFile ~/.ssh/id_ed25519`、`StrictHostKeyChecking yes` 和 `UserKnownHostsFile ~/.ssh/known_hosts` 的最小配置;若传入自定义 config,必须包含 `Host` 与 `IdentityFile`。
|
||||
- `config` 缺省为只允许 `github.com` 走 `ssh.github.com:443`、`IdentityFile /home/agentrun/.ssh/id_ed25519`、`StrictHostKeyChecking yes` 和 `UserKnownHostsFile /home/agentrun/.ssh/known_hosts` 的最小配置;runner Job 同时注入 `GIT_SSH_COMMAND`,用绝对路径指向挂载的 config、identity 和 known_hosts,避免 OpenSSH 的 `~` 按容器 passwd home 解析到错误目录;若传入自定义 config,必须包含 `Host` 与 `IdentityFile`。
|
||||
- runtime 消费仍必须通过 `executionPolicy.secretScope.toolCredentials[]` 的 volume projection 挂载到 `/home/agentrun/.ssh`;不得把同一 SSH private key 复制到镜像、ConfigMap、payload 或 transient env。
|
||||
|
||||
## 日志与事件 Redaction
|
||||
|
||||
Reference in New Issue
Block a user