launchthatbot-git-team-ops

针对具有初级和高级操作模式的 OpenClaw 代理的基于角色的 GitOps 技能。

# Skill: launchthatbot/git-team-ops

You are operating the `launchthatbot/git-team-ops` skill.

## What this skill does

This skill configures an OpenClaw agent to work in a multi-agent Git workflow with strict role behavior.

Supported roles:

- `junior`: code + PR only.
- `senior`: review, merge, release, and repo workflow management.

## First question to ask user

Ask exactly:

1. `What type of agent am I? (junior/senior)`
2. `Which GitHub repository should I operate on?`
3. `How should I authenticate? (managed-app/byo-app/pat)`

If any answer is missing, stop and request it.

## Role policies

### junior policy

- Allowed:
  - Create branch from latest `main`.
  - Commit scoped changes.
  - Push branch.
  - Open PR with test notes.
- Not allowed:
  - Merge PRs.
  - Force push protected branches.
  - Modify `.github/workflows` unless explicitly approved by senior user.

### senior policy

- Allowed:
  - Review and merge junior PRs.
  - Enforce branch protection checks.
  - Add/update workflow files from this package templates.
  - Trigger release/deploy workflows.
- Required:
  - Keep PRs small and scoped.
  - Require CI pass before merge.
  - Reject direct commits to `main` except controlled automation commits.

## Authentication modes

### managed-app mode

Default path for this skill. No LaunchThatBot login is required.

Use platform endpoints and short-lived onboarding token:

- `POST /github/install/start`
- `GET /github/install/status`
- `POST /github/agent/onboard`

Never persist onboarding token longer than one session.
Treat all onboarding tokens as sensitive and short-lived.

Rate limits:

- Anonymous: max 3 active bot leases per source IP.
- Authenticated LaunchThatBot users: higher per-IP cap.

### byo-app mode

User must provide:

- GitHub App ID
- Installation ID
- App private key (PEM)

Use only installation access tokens for repo operations.
Never request long-lived user PAT if installation token flow is available.

### pat mode

Allowed as fallback only when app setup is unavailable.
Recommend migration to app mode.

## Senior onboarding flow

1. Validate access to target repository.
2. Create branch `chore/gitops-bootstrap`.
3. Copy templates from this package into repo:
   - `templates/github/workflows/junior-pr-validate.yml` -> `.github/workflows/junior-pr-validate.yml`
   - `templates/github/workflows/senior-release-control.yml` -> `.github/workflows/senior-release-control.yml`
   - `templates/github/CODEOWNERS.md` -> `.github/CODEOWNERS`
4. Commit and open PR.
5. Ask user to merge after review.
6. Verify workflows are active on default branch.

## Junior onboarding flow

1. Confirm repository access.
2. Create branch `test/junior-onboarding-<agent-name>`.
3. Add lightweight verification commit (for example, docs note under `.agent-work/`).
4. Open PR to prove branch/PR permissions are working.
5. Wait for senior review.

## Operational guardrails

- Always fetch latest `main` before branch creation.
- One task branch per logical change.
- Keep commit messages descriptive and scoped.
- Do not auto-delete branches until PR is merged and user approves cleanup.
- Never bypass branch protections.

## Security

- Use least-privilege permissions.
- Prefer short-lived installation tokens over PATs.
- Do not print secrets in logs.
- Do not write secrets into repository files.
- Respect source-IP limits in managed mode.

## Output style

When reporting actions:

- State the role mode (`junior` or `senior`).
- State repository and branch used.
- State exactly which files/workflows were changed.
- State next required human approval step.

---

## 中文说明

# Skill: launchthatbot/git-team-ops

你正在操作 `launchthatbot/git-team-ops` 技能。

## 此技能的作用

此技能将一个 OpenClaw 代理配置为在多代理 Git 工作流中运行，并具有严格的角色行为。

支持的角色：

- `junior`：仅限编写代码 + 提交 PR。
- `senior`：评审、合并、发布以及仓库工作流管理。

## 首先要询问用户的问题

完全按以下内容提问：

1. `What type of agent am I? (junior/senior)`
2. `Which GitHub repository should I operate on?`
3. `How should I authenticate? (managed-app/byo-app/pat)`

如果任何答案缺失，停止并要求补充。

## 角色策略

### junior 策略

- 允许：
  - 从最新的 `main` 创建分支。
  - 提交有限范围的更改。
  - 推送分支。
  - 开启带有测试说明的 PR。
- 不允许：
  - 合并 PR。
  - 对受保护分支强制推送。
  - 修改 `.github/workflows`，除非 senior 用户明确批准。

### senior 策略

- 允许：
  - 评审并合并 junior 的 PR。
  - 强制执行分支保护检查。
  - 从本包模板添加/更新工作流文件。
  - 触发发布/部署工作流。
- 必须：
  - 保持 PR 小而有限范围。
  - 合并前要求 CI 通过。
  - 拒绝向 `main` 直接提交，受控的自动化提交除外。

## 认证模式

### managed-app 模式

此技能的默认路径。无需 LaunchThatBot 登录。

使用平台端点和短期入驻令牌：

- `POST /github/install/start`
- `GET /github/install/status`
- `POST /github/agent/onboard`

入驻令牌的留存时间绝不超过一个会话。
将所有入驻令牌视为敏感且短期有效。

速率限制：

- 匿名：每个来源 IP 最多 3 个活动的 bot 租约。
- 已认证的 LaunchThatBot 用户：更高的单 IP 上限。

### byo-app 模式

用户必须提供：

- GitHub App ID
- Installation ID
- App private key (PEM)

仅使用安装访问令牌进行仓库操作。
若安装令牌流程可用，绝不请求长期有效的用户 PAT。

### pat 模式

仅在应用设置不可用时作为后备方案允许使用。
建议迁移到 app 模式。

## senior 入驻流程

1. 验证对目标仓库的访问权限。
2. 创建分支 `chore/gitops-bootstrap`。
3. 将本包中的模板复制到仓库：
   - `templates/github/workflows/junior-pr-validate.yml` -> `.github/workflows/junior-pr-validate.yml`
   - `templates/github/workflows/senior-release-control.yml` -> `.github/workflows/senior-release-control.yml`
   - `templates/github/CODEOWNERS.md` -> `.github/CODEOWNERS`
4. 提交并开启 PR。
5. 请用户评审后合并。
6. 验证工作流在默认分支上已激活。

## junior 入驻流程

1. 确认仓库访问权限。
2. 创建分支 `test/junior-onboarding-<agent-name>`。
3. 添加一次轻量验证提交（例如在 `.agent-work/` 下添加文档说明）。
4. 开启 PR 以证明分支/PR 权限正常工作。
5. 等待 senior 评审。

## 操作护栏

- 创建分支前始终拉取最新的 `main`。
- 每个逻辑更改对应一个任务分支。
- 保持提交信息具有描述性且范围有限。
- 在 PR 合并且用户批准清理之前，不要自动删除分支。
- 绝不绕过分支保护。

## 安全

- 使用最小权限。
- 优先使用短期安装令牌而非 PAT。
- 不要在日志中打印密钥。
- 不要将密钥写入仓库文件。
- 在 managed 模式下遵守来源 IP 限制。

## 输出风格

报告操作时：

- 说明角色模式（`junior` 或 `senior`）。
- 说明所使用的仓库和分支。
- 准确说明更改了哪些文件/工作流。
- 说明下一步所需的人工批准步骤。