[TECH] Utiliser le token de github pour sécuriser l'auto merge.

[yschoueri]

🦄 Problème

Un utilisateur externe existe et a un accès Maintainer sur le projet pour automatiser le merge des PRs

🤖 Solution

Github a un token spécifique pour les actions de projet qui sont auto-généré au moment de l'action. Ceci permet d'éviter de donner accès à des comptes externes et de devoir garder le token en variable secrète sur le repo. Voir détail ici

Montée de version de 0.8.3 à 0.14.3
CHANGELOG

🌈 Remarques

On a fait pareil sur Pix-UI : 1024pix/pix-ui#150
Voir la doc : https://docs.github.com/en/actions/security-guides/automatic-token-authentication

[pix-service]

I'm deploying this PR to these urls:

• App (.fr): https://app-pr3446.review.pix.fr
• App (.org): https://app-pr3446.review.pix.org
• Orga: https://orga-pr3446.review.pix.fr
• Certif: https://certif-pr3446.review.pix.fr
• Admin: https://admin-pr3446.review.pix.fr
• API: https://api-pr3446.review.pix.fr/api/

Please check it out!

[jbuget]

LGTM 🚀

[bpetetot]

Il me semblait qu'il y avait un problème lorsqu'on utilisait le token github car il a les droits "admin" et peut donc outrepasser les checks pour merger. Par conséquence, il peut merger même s'il y a des checks non valides. (par ex: le nombre d'approuve minimums)

Une explication ici : https://1024pix.atlassian.net/wiki/spaces/DEV/pages/1789591617/Auto-merge+de+Pull+Request

NB: Un utilisateur Github spécial a été créé pour cela, car ce dernier ne doit pas avoir les droits Admin (dans le répo Pix, un Admin peut merger n’importe quand). Il doit avoir les droits Maintain, pour pouvoir merger. De plus, au sein de l’organisation 1024Pix, par défaut les membres sont Admin, donc à défaut de pouvoir changer ça pour l’instant, notre user pix-service-auto-merge est un Outside collaborator.

Mais, désormais, il est possible de modifier les permissions du GITHUB TOKEN par Job : https://docs.github.com/en/actions/security-guides/automatic-token-authentication#modifying-the-permissions-for-the-github_token

[octo-topi]

🙏 J'ai rebase pour faire passer la CI sur API (bug SIECLE)

J'ai rebase encore une fois pour le test flaky du 30

Là, ça passe en local 😅

[octo-topi]

Je vois que cette PR est délaissée alors que la revue est Ok.
Je mets 🚀 , le vrai test sera au prochain merge