从Azure管道创建GitHub PR注释

在快速的互联网搜索之后，我似乎找不到一个简单的方法让我的Azure管道将自定义评论写回触发它的PR。这可能吗？需要拍拍吗？我不能使用任何需要将PAT公开给外部PR的解决方案，因为他们可以很容易地将其过滤掉。

当然，您可以从Azure管道向GitHub上的PR添加注释。您可以使用管道中的GitHub Comment任务轻松地向GitHub PR写评论

在执行此任务时，如果您的存储库托管在GitHub Enterprise Server上，您还需要创建一个或多个用于此任务的

在创建GitHub（或GitHub Enterprise Server）服务连接时，可以从可选选项中选择授权方法

• GitHub服务连接--

  授予授权

  或

  个人访问令牌

• GitHub企业服务器服务连接--

  个人访问令牌

  ，

  用户名和密码

  或

  OAuth2

因此，如果您选择的授权方法不是个人访问令牌，则不需要GitHub PAT

[更新]

如果您担心有人会滥用服务连接来攻击您的源代码存储库，可以执行以下操作：

在GitHub上，您可以创建PAT，并限制此PAT的权限范围。有关详细信息，请参阅“”

在Azure DevOps上，您可以选择个人访问令牌作为服务连接的授权方法，并填写您在上述步骤中创建的PAT。然后可以限制哪些用户、团队和组，甚至哪些管道可以在项目中使用服务连接。更多详细信息，请参见“”

---

因此，此任务可以安全地在microsoft/msquic repo上的外部（不受信任）方的PR上运行？嗨@NickBanks，此任务在Azure DevOps上的Azure管道中运行，而不是在GitHub存储库中运行。通常，此任务在管道代理上执行相关命令，以向GitHub PR或问题添加注释。如果您不信任Microsoft hosted agent，您可以在自己的计算机上安装自托管代理来运行管道。谢谢@Bright Ran MSFT。我的问题是，外部方可以更改代码的任何部分，包括管道yaml，然后推送PR。由哪个主机运行并不重要。如果向该PR授予任何秘密或特殊的操作权限，则攻击者可能会滥用这些权限。因此，我只是想了解您上面概述的流程是否符合上述任何一项。嗨@NickBanks，我已经更新了我的答案，并提供了更多详细信息，请查看。关于这方面的任何问题，请随时告诉我们。