fix: Artificer GitHub SSH absolute-path git fetch

This commit is contained in:
Claude Code
2026-06-10 21:15:41 +08:00
parent b895f5d925
commit 7864eb8f04
5 changed files with 37 additions and 7 deletions
@@ -204,7 +204,7 @@ Secret 创建和轮换不由 source branch 自动生成;source branch 只声
- 写入对象固定为 `agentrun-v01/agentrun-v01-tool-github-ssh`keys 固定为 `id_ed25519``known_hosts``config`
- CLI dry-run 只显示输入文件 bytes、SecretRef、key 列表和确认命令,不输出文件内容。
- manager upsert Secret 只返回 resourceVersion、hash suffix、SecretRef 和 redaction 状态,不输出 `data``stringData`、private key、known_hosts 或 config 明文。
- `config` 缺省为只允许 `github.com``ssh.github.com:443``IdentityFile ~/.ssh/id_ed25519``StrictHostKeyChecking yes``UserKnownHostsFile ~/.ssh/known_hosts` 的最小配置;若传入自定义 config,必须包含 `Host``IdentityFile`
- `config` 缺省为只允许 `github.com``ssh.github.com:443``IdentityFile /home/agentrun/.ssh/id_ed25519``StrictHostKeyChecking yes``UserKnownHostsFile /home/agentrun/.ssh/known_hosts` 的最小配置;runner Job 同时注入 `GIT_SSH_COMMAND`,用绝对路径指向挂载的 config、identity 和 known_hosts,避免 OpenSSH 的 `~` 按容器 passwd home 解析到错误目录;若传入自定义 config,必须包含 `Host``IdentityFile`
- runtime 消费仍必须通过 `executionPolicy.secretScope.toolCredentials[]` 的 volume projection 挂载到 `/home/agentrun/.ssh`;不得把同一 SSH private key 复制到镜像、ConfigMap、payload 或 transient env。
## 日志与事件 Redaction