chore(i18n): refresh zh-CN translations

This commit is contained in:
openclaw-docs-i18n[bot] 2026-05-02 15:56:06 +00:00
parent cbbac35e5e
commit eb626d89c5
2 changed files with 562 additions and 488 deletions

View File

@ -1,93 +1,94 @@
---
read_when:
- 你需要了解为什么某个 CI 作业运行或没有运行
- 你需要了解 CI 作业为何运行或为何没有运行
- 你正在调试一项失败的 GitHub Actions 检查
- 你正在协调一次发布验证运行或重新运行
- 你正在更改 ClawSweeper 调度或 GitHub 活动转发
summary: CI 作业图、范围门控、发布总括项和本地命令等效项
summary: CI 作业图、范围门禁、发布伞形流程和本地命令等效项
title: CI 流水线
x-i18n:
generated_at: "2026-05-02T12:52:22Z"
generated_at: "2026-05-02T15:53:12Z"
model: gpt-5.5
provider: openai
source_hash: f773c5a8221e3e458373e80b689d66e8cc4243d0df63364a4766701c2f4344a4
source_hash: 1cf280f1f46d49462656de86001b7f2bef7c63f133dbb8d208a7497c48fa3497
source_path: ci.md
workflow: 16
---
OpenClaw CI 会在每次推送到 `main` 以及每个拉取请求时运行。`preflight` 作业会对 diff 进行分类,并在只有无关区域发生变化时关闭昂贵的通道。手动 `workflow_dispatch` 运行会有意绕过智能作用域判定,并为发布候选版本和广泛验证展开完整图。Android 通道通过 `include_android` 保持选启用。仅发布使用的插件覆盖率位于单独的 [`Plugin Prerelease`](#plugin-prerelease) 工作流中,并且只会从 [`Full Release Validation`](#full-release-validation) 或显式手动派发运行。
OpenClaw CI 会在每次推送到 `main` 每个拉取请求时运行。`preflight` 作业会对 diff 进行分类,并在只有无关区域发生变更时关闭高成本通道。手动 `workflow_dispatch` 运行会有意绕过智能范围限定,并为候选发布版本和广泛验证展开完整图。Android 通道通过 `include_android` 保持选启用。仅发布使用的插件覆盖率位于单独的 [`插件预发布`](#plugin-prerelease) 工作流中,并且只会从 [`完整发布验证`](#full-release-validation) 或显式手动派发运行。
## 流水线概览
| 作业 | 用途 | 运行时机 |
| -------------------------------- | -------------------------------------------------------------------------------------------- | ---------------------------------- |
| `preflight` | 检测仅文档变更、变更作用域、变更扩展,并构建 CI 清单 | 始终在非草稿推送和 PR 上运行 |
| `security-scm-fast` | 通过 `zizmor` 进行私钥检测和工作流审计 | 始终在非草稿推送和 PR 上运行 |
| `security-dependency-audit` | 针对 npm 公告进行无依赖的生产 lockfile 审计 | 始终在非草稿推送和 PR 上运行 |
| `security-fast` | 快速安全作业的必需聚合项 | 始终在非草稿推送和 PR 上运行 |
| `check-dependencies` | 生产 Knip 仅依赖检查,以及未使用文件 allowlist 防护 | Node 相关变更 |
| `build-artifacts` | 构建 `dist/`、Control UI、内置制品检查以及可复用下游制品 | Node 相关变更 |
| `checks-fast-core` | 快速 Linux 正确性通道,例如内置/插件契约/协议检查 | Node 相关变更 |
| `checks-fast-contracts-channels` | 分片渠道契约检查,并提供稳定的聚合检查结果 | Node 相关变更 |
| `checks-node-core-test` | Core Node 测试分片,排除渠道、内置、契约和扩展通道 | Node 相关变更 |
| `check` | 分片的主本地门禁等价项生产类型、lint、防护、测试类型和严格 smoke | Node 相关变更 |
| `check-additional` | 架构、边界、扩展表面防护、包边界和 gateway-watch 分片 | Node 相关变更 |
| `build-smoke` | 内置 CLI smoke 测试和启动内存 smoke | Node 相关变更 |
| `checks` | 内置制品渠道测试的验证器 | Node 相关变更 |
| `checks-node-compat-node22` | Node 22 兼容性构建和 smoke 通道 | 发布用手动 CI 派发 |
| `check-docs` | 文档格式、lint 和断链检查 | 文档已变更 |
| `skills-python` | 面向 Python 支持的 Skills 的 Ruff + pytest | Python 技能相关变更 |
| `checks-windows` | Windows 专用进程/路径测试,以及共享运行时导入说明符回归 | Windows 相关变更 |
| `macos-node` | 使用共享内置制品的 macOS TypeScript 测试通道 | macOS 相关变更 |
| `macos-swift` | macOS 应用的 Swift lint、构建和测试 | macOS 相关变更 |
| `android` | 两种 flavor 的 Android 单元测试,以及一次 debug APK 构建 | Android 相关变更 |
| `test-performance-agent` | 可信活动之后的每日 Codex 慢测试优化 | Main CI 成功或手动派发 |
| 作业 | 用途 | 运行时机 |
| -------------------------------- | --------------------------------------------------------------------------------------------------------- | ---------------------------------- |
| `preflight` | 检测仅文档变更、变更范围、变更扩展,并构建 CI 清单 | 始终在非草稿推送和 PR 上运行 |
| `security-scm-fast` | 通过 `zizmor` 进行私钥检测和工作流审计 | 始终在非草稿推送和 PR 上运行 |
| `security-dependency-audit` | 针对 npm 安全公告进行无依赖的生产 lockfile 审计 | 始终在非草稿推送和 PR 上运行 |
| `security-fast` | 快速安全作业所需的聚合项 | 始终在非草稿推送和 PR 上运行 |
| `check-dependencies` | 生产 Knip 仅依赖检查,以及未使用文件 allowlist 防护 | Node 相关变更 |
| `build-artifacts` | 构建 `dist/`、Control UI、构建产物检查以及可复用的下游产物 | Node 相关变更 |
| `checks-fast-core` | 快速 Linux 正确性通道,例如内置/插件契约/协议检查 | Node 相关变更 |
| `checks-fast-contracts-channels` | 分片的渠道契约检查,并带有稳定的聚合检查结果 | Node 相关变更 |
| `checks-node-core-test` | 核心 Node 测试分片,不包括渠道、内置、契约和扩展通道 | Node 相关变更 |
| `check` | 分片的主要本地门禁等价项生产类型、lint、防护、测试类型和严格 smoke | Node 相关变更 |
| `check-additional` | 架构、边界、扩展表面防护、包边界和 gateway-watch 分片 | Node 相关变更 |
| `build-smoke` | 已构建 CLI smoke 测试和启动内存 smoke | Node 相关变更 |
| `checks` | 已构建产物渠道测试的验证器 | Node 相关变更 |
| `checks-node-compat-node22` | Node 22 兼容性构建和 smoke 通道 | 发布用手动 CI 派发 |
| `check-docs` | 文档格式化、lint 和断链检查 | 文档已变更 |
| `skills-python` | 面向 Python 支持的 Skills 的 Ruff + pytest | Python Skills 相关变更 |
| `checks-windows` | Windows 特定进程/路径测试,以及共享运行时导入说明符回归测试 | Windows 相关变更 |
| `macos-node` | 使用共享构建产物的 macOS TypeScript 测试通道 | macOS 相关变更 |
| `macos-swift` | macOS 应用的 Swift lint、构建和测试 | macOS 相关变更 |
| `android` | 两种 flavor 的 Android 单元测试,以及一次 debug APK 构建 | Android 相关变更 |
| `test-performance-agent` | 可信活动后的每日 Codex 慢测试优化 | 主 CI 成功或手动派发 |
| `openclaw-performance` | 每日/按需 Kova 运行时性能报告,包含 mock-provider、deep-profile 和 GPT 5.4 实时通道 | 定时和手动派发 |
## 快速失败顺序
## Fail-fast 顺序
1. `preflight` 决定哪些通道实际存在。`docs-scope` 和 `changed-scope` 逻辑是此作业内的步骤,不是独立作业。
2. `security-scm-fast`、`security-dependency-audit`、`security-fast`、`check`、`check-additional`、`check-docs` 和 `skills-python` 会快速失败,而无需等待更重的制品和平台矩阵作业。
3. `build-artifacts` 会与快速 Linux 通道重叠运行,因此下游消费者可以在共享构建就绪后立即开始。
1. `preflight` 决定哪些通道实际存在。`docs-scope` 和 `changed-scope` 逻辑是此作业内的步骤,不是独立作业。
2. `security-scm-fast`、`security-dependency-audit`、`security-fast`、`check`、`check-additional`、`check-docs` 和 `skills-python` 会快速失败,而不会等待更重的产物和平台矩阵作业。
3. `build-artifacts` 会与快速 Linux 通道重叠运行,这样下游消费者可以在共享构建就绪后立即开始。
4. 更重的平台和运行时通道随后展开:`checks-fast-core`、`checks-fast-contracts-channels`、`checks-node-core-test`、`checks`、`checks-windows`、`macos-node`、`macos-swift` 和 `android`
当同一个 PR 或 `main` ref 上有更新推送进入GitHub 可能会将被取代的作业标记为 `cancelled`。除非同一 ref 的最新运行也失败,否则将其视为 CI 噪声。聚合分片检查使用 `!cancelled() && always()`,因此它们仍会报告正常的分片失败,但不会在整个工作流已经被取代后继续排队。自动 CI 并发键带版本号(`CI-v7-*`),因此 GitHub 端旧队列组中的僵尸项无法无限期阻塞新的 main 运行。手动完整套件运行使用 `CI-manual-v1-*`,并且不会取消正在行的运行。
当同一 PR 或 `main` ref 上有更新的推送落地GitHub 可能会将被取代的作业标记为 `cancelled`。除非同一 ref 的最新运行也失败,否则将其视为 CI 噪声。聚合分片检查使用 `!cancelled() && always()`,因此它们仍会报告正常的分片失败,但不会在整个工作流已被取代后继续排队。自动 CI 并发键带有版本号(`CI-v7-*`),因此 GitHub 侧旧队列组中的僵尸任务无法无限期阻塞更新的 main 运行。手动完整套件运行使用 `CI-manual-v1-*`,并且不会取消正在行的运行。
## 作用域和路由
## 范围和路由
作用域逻辑位于 `scripts/ci-changed-scope.mjs`,并由 `src/scripts/ci-changed-scope.test.ts` 中的单元测试覆盖。手动派发会跳过 changed-scope 检测,并让 preflight 清单表现得像每个作用域区域都发生了变化
范围逻辑位于 `scripts/ci-changed-scope.mjs`,并由 `src/scripts/ci-changed-scope.test.ts` 中的单元测试覆盖。手动派发会跳过变更范围检测,并让 preflight 清单表现得像每个限定范围区域都发生了变更
- **CI 工作流编辑**会验证 Node CI 图和工作流 lint但本身不会强制 Windows、Android 或 macOS 原生构建;这些平台通道仍限定平台源代码变更。
- **仅 CI 路由编辑、选定的廉价 core-test fixture 编辑,以及窄范围插件契约 helper/test-routing 编辑**使用快速的仅 Node 清单路径:`preflight`、security以及一个 `checks-fast-core` 任务。当变更仅限于快速任务直接执行的路由或 helper 表面时该路径会跳过构建制品、Node 22 兼容性、渠道契约、完整 core 分片、内置插件分片和额外防护矩阵。
- **Windows Node 检查**限定于 Windows 专用进程/路径包装器、npm/pnpm/UI runner helper、包管理器配置,以及执行该通道的 CI 工作流表面;无关源码、插件、install-smoke 和仅测试变更仍留在 Linux Node 通道上。
- **CI 工作流编辑**会验证 Node CI 图和工作流 lint本身不会强制 Windows、Android 或 macOS 原生构建;这些平台通道仍限定平台源代码变更。
- **仅 CI 路由编辑、选定的低成本核心测试 fixture 编辑,以及窄范围插件契约辅助/测试路由编辑**会使用快速的仅 Node 清单路径:`preflight`、security 和单个 `checks-fast-core` 任务。当变更仅限于该快速任务直接覆盖的路由或辅助表面时该路径会跳过构建产物、Node 22 兼容性、渠道契约、完整核心分片、内置插件分片和额外防护矩阵。
- **Windows Node 检查**限定于 Windows 特定进程/路径包装器、npm/pnpm/UI 运行器辅助工具、包管理器配置,以及执行该通道的 CI 工作流表面无关源码、插件、install-smoke 和仅测试变更仍留在 Linux Node 通道上。
最慢的 Node 测试族会被拆分或均衡,使每个作业保持较小规模,同时不过度预留 runner渠道契约作为三个加权分片运行小型 core 单元通道成对组合auto-reply 作为四个均衡 worker 运行reply 子树拆分为 agent-runner、dispatch 和 commands/state-routing 分片agentic Gateway 网关/插件配置分散到现有仅源码 agentic Node 作业中,而不是等待构建制品。广泛的浏览器、QA、媒体和杂项插件测试使用其专用 Vitest 配置,而不是共享的插件 catch-all。include-pattern 分片使用 CI 分片名称记录计时条目,因此 `.artifacts/vitest-shard-timings.json` 可以区分整个配置与过滤后的分片。`check-additional` 会将包边界编译/canary 工作放在一起,并将运行时拓扑架构与 gateway watch 覆盖率分开边界防护分片会在一个作业内并发运行其小型独立防护。Gateway watch、渠道测试和 core 支持边界分片会在 `dist/``dist-runtime/` 已构建后,于 `build-artifacts` 内并发运行。
最慢的 Node 测试族会被拆分或平衡,以便每个作业保持较小规模而不过度预留 runner渠道契约作为三个加权分片运行小型核心单元通道成对运行auto-reply 作为四个平衡 worker 运行reply 子树拆分为 agent-runner、dispatch 和 commands/state-routing 分片agentic gateway/plugin 配置分散到现有的仅源码 agentic Node 作业中,而不是等待构建产物。广泛的浏览器、QA、媒体和杂项插件测试使用其专用 Vitest 配置,而不是共享插件 catch-all。包含模式分片使用 CI 分片名称记录计时条目,因此 `.artifacts/vitest-shard-timings.json` 可以区分整个配置和筛选后的分片。`check-additional` 将包边界编译/canary 工作保持在一起,并将运行时拓扑架构与 gateway watch 覆盖率分离边界防护分片会在一个作业内并发运行其小型独立防护。Gateway 网关 watch、渠道测试和核心支持边界分片会在 `dist/``dist-runtime/` 已构建后,在 `build-artifacts` 内并发运行。
Android CI 会同时运行 `testPlayDebugUnitTest``testThirdPartyDebugUnitTest`,然后构建 Play debug APK。第三方 flavor 没有单独的 source set 或 manifest其单元测试通道仍会使用 SMS/call-log BuildConfig 标志编译该 flavor同时避免在每个 Android 相关推送上执行重复的 debug APK 打包作业。
Android CI 会同时运行 `testPlayDebugUnitTest``testThirdPartyDebugUnitTest`,然后构建 Play debug APK。第三方 flavor 没有单独的 source set 或 manifest其单元测试通道仍会使用 SMS/call-log BuildConfig 标志编译该 flavor同时避免在每个 Android 相关推送上重复执行 debug APK 打包作业。
`check-dependencies` 分片运行 `pnpm deadcode:dependencies`(生产 Knip 仅依赖检查,固定到最新 Knip 版本,并`dlx` 安装禁用 pnpm 的最小发布年龄)和 `pnpm deadcode:unused-files`,后者会将 Knip 的生产未使用文件发现结果与 `scripts/deadcode-unused-files.allowlist.mjs` 进行比较。当 PR 添加新的未经审查未使用文件,或留下过时 allowlist 条目时,未使用文件防护会失败,同时保留 Knip 无法静态解析的有意动态插件、生成内容、构建、实时测试和包桥接表面。
`check-dependencies` 分片运行 `pnpm deadcode:dependencies`一个生产 Knip 仅依赖检查,固定到最新 Knip 版本,并`dlx` 安装时禁用 pnpm 的最小发布时间)和 `pnpm deadcode:unused-files`,后者会将 Knip 的生产未使用文件发现结果与 `scripts/deadcode-unused-files.allowlist.mjs` 进行比较。当 PR 新增了未审查的未使用文件,或留下陈旧的 allowlist 条目时,未使用文件防护会失败,同时保留 Knip 无法静态解析的有意动态插件、生成、构建、实时测试和包桥接表面。
## ClawSweeper 活动转发
`.github/workflows/clawsweeper-dispatch.yml` 是从 OpenClaw 仓库活动到 ClawSweeper 的目标端桥接。它不会 check out 或执行不受信任的拉取请求代码。该工作流会从 `CLAWSWEEPER_APP_PRIVATE_KEY` 创建 GitHub App token然后向 `openclaw/clawsweeper` 派发紧凑的 `repository_dispatch` payload。
`.github/workflows/clawsweeper-dispatch.yml` 是从 OpenClaw 仓库活动到 ClawSweeper 的目标侧桥接。它不会签出或执行不可信的拉取请求代码。该工作流会从 `CLAWSWEEPER_APP_PRIVATE_KEY` 创建 GitHub App token然后向 `openclaw/clawsweeper` 派发紧凑的 `repository_dispatch` payload。
该工作流有四个通道:
- `clawsweeper_item` 用于精确的 issue 和拉取请求评审请求;
- `clawsweeper_item` 用于精确的 issue 和拉取请求 review 请求;
- `clawsweeper_comment` 用于 issue 评论中的显式 ClawSweeper 命令;
- `clawsweeper_commit_review` 用于 `main` 推送上的提交级评审请求;
- `github_activity` 用于 ClawSweeper 智能体可检查的一般 GitHub 活动。
- `clawsweeper_commit_review` 用于 `main` 推送上的提交级 review 请求;
- `github_activity` 用于 ClawSweeper 智能体可检查的一般 GitHub 活动。
`github_activity` 通道只转发规范化元数据事件类型、动作、actor、仓库、条目编号、URL、标题、状态以及评论或评审存在时的短摘录。它有意避免转发完整 webhook body。`openclaw/clawsweeper` 中的接收工作流是 `.github/workflows/github-activity.yml`,它会将规范化事件发布到 ClawSweeper 智能体的 OpenClaw Gateway 网关 hook。
`github_activity` 通道只转发规范化元数据事件类型、动作、actor、仓库、条目编号、URL、标题、状态以及存在评论或 review 时的简短摘录。它有意避免转发完整 webhook body。`openclaw/clawsweeper` 中的接收工作流是 `.github/workflows/github-activity.yml`,它会将规范化事件发布到 OpenClaw Gateway 网关 hook,供 ClawSweeper 智能体使用
一般活动是观察不是默认投递。ClawSweeper 智能体会在其提示中收到 Discord 目标,并且只有当事件令人意外、可操作、有风险或对运营有用时,才应发布到 `#clawsweeper`。常规打开、编辑、机器人 churn、重复 webhook 噪声和正常评审流量应得到 `NO_REPLY`
一般活动是观察,不是默认投递。ClawSweeper 智能体会在其提示中收到 Discord 目标,并且只应在事件令人意外、可操作、有风险或对运维有用时发布到 `#clawsweeper`。例行打开、编辑、机器人扰动、重复 webhook 噪声和正常 review 流量应产生 `NO_REPLY`
在整个路径中,都应将 GitHub 标题、评论、正文、评审文本、分支名称和提交消息视为不受信任的数据。它们是用于摘要和分诊的输入,不是工作流或智能体运行时的指令。
在整个路径中,将 GitHub 标题、评论、正文、review 文本、分支名称和提交消息视为不可信数据。它们是用于摘要和分诊的输入,不是工作流或智能体运行时的指令。
## 手动派发
手动 CI 派发运行与普通 CI 相同的作业图,但会强制启用每个非 Android 作用域通道Linux Node 分片、内置插件分片、渠道契约、Node 22 兼容性、`check`、`check-additional`、build smoke、文档检查、Python Skills、Windows、macOS 和 Control UI i18n。独立手动 CI 派发只有在 `include_android=true` 时才会运行 Android完整发布伞形流程会通过传递 `include_android=true` 启用 Android。插件预发布静态检查、仅发布使用的 `agentic-plugins` 分片、完整扩展批量扫描和插件预发布 Docker 通道被排除在 CI 之外。Docker 预发布套件只会在 `Full Release Validation` 启用 release-validation 门禁后派发单独的 `Plugin Prerelease` 工作流时运行。
手动 CI 调度运行与常规 CI 相同的作业图,但会强制开启每个非 Android 范围的通道Linux Node 分片、内置插件分片、渠道契约、Node 22 兼容性、`check`、`check-additional`、构建冒烟、文档检查、Python Skills、Windows、macOS 和 Control UI i18n。独立的手动 CI 调度仅在 `include_android=true` 时运行 Android完整发布伞形流程会通过传入 `include_android=true` 启用 Android。插件预发布静态检查、仅发布使用的 `agentic-plugins` 分片、完整扩展批量扫描以及插件预发布 Docker 通道均不包含在 CI 中。Docker 预发布套件仅在 `Full Release Validation` 通过启用发布验证门禁来调度单独的 `Plugin Prerelease` 工作流时运行。
手动运行使用唯一的并发组,因此发布候选完整套件不会被同一 ref 上的另一次推送或 PR 运行取消。可选的 `target_ref` 输入允许可信调用方在使用所选派发 ref 中工作流文件的同时,针对分支、标签或完整提交 SHA 运行该图。
手动运行会使用唯一的并发组,因此候选发布版本的完整套件不会被同一 ref 上的另一个 push 或 PR 运行取消。可选的 `target_ref` 输入允许受信任的调用方在使用所选调度 ref 中的工作流文件的同时,针对分支、标签或完整提交 SHA 运行该作业图。
```bash
gh workflow run ci.yml --ref release/YYYY.M.D
@ -99,15 +100,15 @@ gh workflow run full-release-validation.yml --ref main -f ref=<branch-or-sha>
| 运行器 | 作业 |
| -------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| `ubuntu-24.04` | `preflight`、快速安全作业和聚合作业`security-scm-fast`、`security-dependency-audit`、`security-fast`)、快速协议/契约/内置检查、分片渠道契约检查、除 lint 外的 `check` 分片、`check-additional` 分片和聚合作业、Node 测试聚合验证器、文档检查、Python Skills、workflow-sanity、labeler、auto-responseinstall-smoke preflight 也使用 GitHub 托管的 Ubuntu以便 Blacksmith 矩阵可以更早排队 |
| `blacksmith-4vcpu-ubuntu-2404` | `CodeQL Critical Quality`、较轻量的插件分片、`checks-fast-core`、`checks-node-compat-node22`、`check-prod-types` 和 `check-test-types` |
| `ubuntu-24.04` | `preflight`、快速安全作业和聚合`security-scm-fast`、`security-dependency-audit`、`security-fast`)、快速协议/契约/内置检查、分片渠道契约检查、除 lint 外的 `check` 分片、`check-additional` 分片和聚合、Node 测试聚合验证器、文档检查、Python Skills、workflow-sanity、labeler、auto-responseinstall-smoke 预检也使用 GitHub 托管的 Ubuntu以便 Blacksmith 矩阵可以更早排队 |
| `blacksmith-4vcpu-ubuntu-2404` | `CodeQL Critical Quality`、较低权重的扩展分片、`checks-fast-core`、`checks-node-compat-node22`、`check-prod-types` 和 `check-test-types` |
| `blacksmith-8vcpu-ubuntu-2404` | `build-artifacts`、build-smoke、Linux Node 测试分片、内置插件测试分片、`android` |
| `blacksmith-16vcpu-ubuntu-2404` | `check-lint`(对 CPU 足够敏感8 vCPU 的成本高于节省的时间install-smoke Docker 构建32 vCPU 的排队时间成本高于节省的时间 |
| `blacksmith-16vcpu-ubuntu-2404` | `check-lint`(对 CPU 足够敏感8 vCPU 的成本高于节省的成本install-smoke Docker 构建32-vCPU 排队时间的成本高于节省的成本 |
| `blacksmith-16vcpu-windows-2025` | `checks-windows` |
| `blacksmith-6vcpu-macos-latest` | `openclaw/openclaw` 上的 `macos-node`fork 回退到 `macos-latest` |
| `blacksmith-12vcpu-macos-latest` | `openclaw/openclaw` 上的 `macos-swift`fork 回退到 `macos-latest` |
## 本地等命令
## 本地等命令
```bash
pnpm changed:lanes # inspect the local changed-lane classifier for origin/main...HEAD
@ -131,15 +132,33 @@ node scripts/ci-run-timings.mjs --latest-main # ignore issue/comment noise and c
node scripts/ci-run-timings.mjs --recent 10 # compare recent successful main CI runs
pnpm test:perf:groups --full-suite --allow-failures --output .artifacts/test-perf/baseline-before.json
pnpm test:perf:groups:compare .artifacts/test-perf/baseline-before.json .artifacts/test-perf/after-agent.json
pnpm perf:kova:summary --report .artifacts/kova/reports/mock-provider/report.json --output .artifacts/kova/summary.md
```
## OpenClaw 性能
`OpenClaw Performance` 是产品/运行时性能工作流。它每天在 `main` 上运行,也可以手动调度:
```bash
gh workflow run openclaw-performance.yml --ref main -f profile=diagnostic -f repeat=3
gh workflow run openclaw-performance.yml --ref main -f profile=smoke -f repeat=1 -f deep_profile=true -f live_gpt54=true
```
该工作流会从固定发布版本安装 OCM并从固定的 `kova_ref` 输入安装 Kova然后运行三个通道
- `mock-provider`:针对本地构建运行时运行 Kova 诊断场景,并使用确定性的假 OpenAI 兼容认证。
- `mock-deep-profile`针对启动、Gateway 网关和智能体回合热点进行 CPU/堆/跟踪剖析。
- `live-gpt54`:一次真实的 OpenAI `openai/gpt-5.4` 智能体回合,在 `OPENAI_API_KEY` 不可用时跳过。
每个通道都会上传 GitHub 工件。配置 `CLAWGRIT_REPORTS_TOKEN` 后,该工作流还会将 `report.json`、`report.md`、bundle 和 `index.md` 提交到 `openclaw/clawgrit-reports``openclaw-performance/<ref>/<run-id>-<attempt>/<lane>/` 下。当前分支指针会写入为 `openclaw-performance/<ref>/latest-<lane>.json`
## 完整发布验证
`Full Release Validation` 是用于“发布前运行所有内容”的手动总括工作流。它接受一个分支、标签或完整提交 SHA使用该目标分发手动 `CI` 工作流,分发 `Plugin Prerelease` 以提供仅发布所需的插件/包/静态/Docker 证明,并分发 `OpenClaw Release Checks` 以运行安装冒烟、包验收、Docker 发布路径套件、live/E2E、OpenWebUI、QA Lab 一致性、Matrix 和 Telegram 通道。使用 `rerun_group=all``release_profile=full` 时,它还会针对来自发布检查的 `release-package-under-test` 工件运行 `NPM Telegram Beta E2E`。发布后,传入 `npm_telegram_package_spec` 可针对已发布的 npm 包重新运行同一个 Telegram 包通道。
`Full Release Validation` 是用于“发布前运行所有内容”的手动伞形工作流。它接受分支、标签或完整提交 SHA使用该目标调度手动 `CI` 工作流,调度 `Plugin Prerelease` 以提供仅发布使用的插件/包/静态/Docker 证明,并调度 `OpenClaw Release Checks` 以执行安装冒烟、包验收、Docker 发布路径套件、live/E2E、OpenWebUI、QA Lab parity、Matrix 和 Telegram 通道。使用 `rerun_group=all``release_profile=full` 时,它还会针对发布检查`release-package-under-test` 工件运行 `NPM Telegram Beta E2E`。发布后,传入 `npm_telegram_package_spec` 可针对已发布的 npm 包重新运行同一 Telegram 包通道。
请参阅[完整发布验证](/zh-CN/reference/full-release-validation),了解阶段矩阵、确切的工作流作业名称、配置差异、工件和聚焦重跑句柄。
请参阅[完整发布验证](/zh-CN/reference/full-release-validation),了解阶段矩阵、确切的工作流作业名称、配置文件差异、工件和聚焦重运行句柄。
`OpenClaw Release Publish` 是会产生变更的手动发布工作流。在发布标签存在且 OpenClaw npm preflight 已成功后,从 `release/YYYY.M.D``main` 分发它。它会验证 `pnpm plugins:sync:check`,为所有可发布的插件包分发 `Plugin NPM Release`,为相同的发布 SHA 分发 `Plugin ClawHub Release`,然后才使用保存的 `preflight_run_id` 分发 `OpenClaw NPM Release`
`OpenClaw Release Publish` 是会产生变更的手动发布工作流。在发布标签存在且 OpenClaw npm 预检成功后,从 `release/YYYY.M.D``main` 调度它。它会验证 `pnpm plugins:sync:check`,为所有可发布的插件包调度 `Plugin NPM Release`,为同一发布 SHA 调度 `Plugin ClawHub Release`,然后才使用保存的 `preflight_run_id` 调度 `OpenClaw NPM Release`
```bash
gh workflow run openclaw-release-publish.yml \
@ -149,31 +168,31 @@ gh workflow run openclaw-release-publish.yml \
-f npm_dist_tag=beta
```
对于快速移动分支上的固定提交证明,请使用辅助命令,而不是 `gh workflow run ... --ref main -f ref=<sha>`
对于快速变化分支上的固定提交证明,请使用辅助命令,而不是 `gh workflow run ... --ref main -f ref=<sha>`
```bash
pnpm ci:full-release --sha <full-sha>
```
GitHub 工作流分发 ref 必须是分支或标签,不能是原始提交 SHA。该辅助命令会在目标 SHA 上推送一个临时 `release-ci/<sha>-...` 分支,从该固定 ref 分发 `Full Release Validation`,验证每个子工作流的 `headSha` 都与目标匹配,并在运行完成后删除临时分支。如果任何子工作流在不同 SHA 上运行,总括验证器也会失败。
GitHub 工作流调度 ref 必须是分支或标签,不能是原始提交 SHA。该辅助命令会在目标 SHA 处推送一个临时 `release-ci/<sha>-...` 分支,从该固定 ref 调度 `Full Release Validation`,验证每个子工作流的 `headSha` 都与目标匹配,并在运行完成后删除临时分支。如果任何子工作流运行在不同 SHA 上,伞形验证器也会失败。
`release_profile` 控制传入发布检查的 live/提供商覆盖范围。手动发布工作流默认使用 `stable`只有在你明确想要宽泛的咨询型提供商/媒体矩阵时才使用 `full`
`release_profile` 控制传入发布检查的 live/提供商覆盖范围。手动发布工作流默认使用 `stable`仅在你有意需要广泛的建议性提供商/媒体矩阵时才使用 `full`
- `minimum` 保留最快的 OpenAI/核心发布关键通道。
- `stable` 添加稳定的提供商/后端集合。
- `full` 运行宽泛的咨询型提供商/媒体矩阵。
- `full` 运行广泛的建议性提供商/媒体矩阵。
总括工作流会记录已分发的子运行 ID最终的 `Verify full validation` 作业会重新检查当前子运行结论,并为每个子运行追加最慢作业表。如果某个子工作流重跑后变绿,只需重跑父验证器作业即可刷新总括结果和耗时摘要。
伞形流程会记录已调度的子运行 ID最终的 `Verify full validation` 作业会重新检查当前子运行结论,并为每个子运行追加最慢作业表。如果某个子工作流被重新运行并变为绿色,只需重新运行父验证器作业即可刷新伞形结果和计时摘要。
对于恢复,`Full Release Validation` 和 `OpenClaw Release Checks` 都接受 `rerun_group`对发布候选版本使用 `all`,仅针对普通完整 CI 子项使用 `ci`,仅针对插件预发布子项使用 `plugin-prerelease`,针对每个发布子项使用 `release-checks`,或在总括工作流上使用更窄的组:`install-smoke`、`cross-os`、`live-e2e`、`package`、`qa`、`qa-parity`、`qa-live` 或 `npm-telegram`。这能在聚焦修复之后,将失败发布环境的重跑范围保持在边界内
恢复`Full Release Validation` 和 `OpenClaw Release Checks` 都接受 `rerun_group`发布候选版本使用 `all`,仅正常的完整 CI 子流程使用 `ci`,仅插件预发布子流程使用 `plugin-prerelease`,每个发布子流程使用 `release-checks`,或者在伞形流程上使用更窄的组:`install-smoke`、`cross-os`、`live-e2e`、`package`、`qa`、`qa-parity`、`qa-live` 或 `npm-telegram`。这样可以在聚焦修复后,将失败发布环境的重新运行范围限制住
`OpenClaw Release Checks` 使用受信任的工作流 ref 将所选 ref 解析一次为 `release-package-under-test` tarball然后把该工件传给 live/E2E 发布路径 Docker 工作流和包验收分片。这能保持不同发布环境中的包字节一致,并避免在多个子作业中重新打包同一个候选版本。
`OpenClaw Release Checks` 使用受信任的工作流引用,将选定的引用解析一次为 `release-package-under-test` tarball然后把该构件传给 live/E2E 发布路径 Docker 工作流和包验收分片。这样可以让各个发布环境中的包字节保持一致,并避免在多个子作业中重新打包同一个候选版本。
对于 `ref=main``rerun_group=all` 的重复 `Full Release Validation` 运行,新运行会取代旧的总括运行。父监视器在父运行被取消时,会取消它已经分发的任何子工作流,因此较新的 main 验证不会排在过期的两小时发布检查运行后面。发布分支/标签验证和聚焦重跑组会保持 `cancel-in-progress: false`
对于 `ref=main``rerun_group=all` 的重复 `Full Release Validation` 运行会取代较旧的伞形流程。父监控器在父流程被取消时,会取消它已调度的任何子工作流,因此较新的 main 验证不会排在陈旧的两小时 release-check 运行后面。发布分支/标签验证和聚焦重新运行组会保持 `cancel-in-progress: false`
## Live 和 E2E 分片
发布 live/E2E 子项保留宽泛的原生 `pnpm test:live` 覆盖范围,但它通过 `scripts/test-live-shard.mjs` 以命名分片运行,而不是作为一个串行作业运行:
发布 live/E2E 子流程仍保留广泛的原生 `pnpm test:live` 覆盖,但它会通过 `scripts/test-live-shard.mjs` 以命名分片运行,而不是作为一个串行作业运行:
- `native-live-src-agents`
- `native-live-src-gateway-core`
@ -185,59 +204,59 @@ GitHub 工作流分发 ref 必须是分支或标签,不能是原始提交 SHA
- `native-live-extensions-openai`
- `native-live-extensions-o-z-other`
- `native-live-extensions-xai`
- 拆分的媒体音频/视频分片以及提供商过滤的音乐分片
- 拆分的媒体音频/视频分片以及提供商过滤的音乐分片
会保持相同的文件覆盖范围,同时让缓慢的 live 提供商失败更容易重跑和诊断。聚合 `native-live-extensions-o-z`、`native-live-extensions-media` 和 `native-live-extensions-media-music` 分片名称仍然可用于手动一次性重跑
样既保持相同的文件覆盖范围,又让较慢的 live 提供商失败更容易重新运行和诊断。聚合的 `native-live-extensions-o-z`、`native-live-extensions-media` 和 `native-live-extensions-media-music` 分片名称仍可用于手动一次性重新运行
原生 live 媒体分片在 `ghcr.io/openclaw/openclaw-live-media-runner:ubuntu-24.04` 中运行,该镜像由 `Live Media Runner Image` 工作流构建。该镜像预 `ffmpeg``ffprobe`;媒体作业只会在设置前验证二进制文件。请将 Docker 支持的 live 套件保留在普通 Blacksmith 运行器上,容器作业不是启动嵌套 Docker 测试的合适位置
原生 live 媒体分片在 `ghcr.io/openclaw/openclaw-live-media-runner:ubuntu-24.04` 中运行,该镜像由 `Live Media Runner Image` 工作流构建。该镜像预装 `ffmpeg``ffprobe`;媒体作业只在设置前验证这些二进制文件。让 Docker 支持的 live 套件保持在普通 Blacksmith 运行器上运行,容器作业不适合启动嵌套 Docker 测试
Docker 支持的实时模型/后端分片会为每个选定提交使用单独的共享 `ghcr.io/openclaw/openclaw-live-test:<sha>` 镜像。实时发布工作流会构建并推送该镜像一次,然后 Docker 实时模型、按提供商分片的 Gateway 网关、CLI 后端、ACP 绑定和 Codex harness 分片会以 `OPENCLAW_SKIP_DOCKER_BUILD=1` 运行。Gateway 网关 Docker 分片在脚本级别带有明确的 `timeout` 上限,低于工作流作业超时,因此卡住的容器或清理路径会快速失败,而不是耗尽整个发布检查预算。如果这些分片独立重新构建完整源码 Docker 目标,则发布运行配置错误,并会在重复镜像构建上浪费实际耗时。
Docker 支持的 live 模型/后端分片会为每个选定提交使用单独的共享 `ghcr.io/openclaw/openclaw-live-test:<sha>` 镜像。live 发布工作流会构建并推送该镜像一次,然后 Docker live 模型、按提供商分片的 Gateway 网关、CLI 后端、ACP bind 和 Codex harness 分片都会以 `OPENCLAW_SKIP_DOCKER_BUILD=1` 运行。Gateway 网关 Docker 分片在脚本层带有显式 `timeout` 上限,低于工作流作业超时,因此卡住的容器或清理路径会快速失败,而不是耗尽整个 release-check 预算。如果这些分片独立重建完整源 Docker 目标,则说明发布运行配置错误,并会在重复镜像构建上浪费实际耗时。
## 软件包验收
## 包验收
当问题是“这个可安装的 OpenClaw 软件包是否作为产品正常工作?”时,使用 `Package Acceptance`。它不同于常规 CI常规 CI 验证源码树,而软件包验收会通过用户安装或更新后使用的同一 Docker E2E harness 验证单个 tarball。
当问题是“这个可安装的 OpenClaw 包作为产品是否可用?”时,使用 `Package Acceptance`。它不同于普通 CI普通 CI 验证源代码树,而包验收会通过用户在安装或更新后实际使用的同一个 Docker E2E harness 验证单个 tarball。
### 作业
1. `resolve_package` 会检出 `workflow_ref`,解析一个候选软件包,写入 `.artifacts/docker-e2e-package/openclaw-current.tgz`,写入 `.artifacts/docker-e2e-package/package-candidate.json`,将两者作为 `package-under-test` 构件上传,并在 GitHub 步骤摘要中打印来源、工作流 ref、软件包 ref、版本、SHA-256 和配置文件。
2. `docker_acceptance` 会以 `ref=workflow_ref``package_artifact_name=package-under-test` 调用 `openclaw-live-and-e2e-checks-reusable.yml`。可复用工作流会下载该构件,验证 tarball 清单,在需要时准备软件包摘要 Docker 镜像,并针对该软件包运行选定的 Docker 运行道,而不是打包工作流检出内容。当某个配置文件选择多个目标 `docker_lanes` 时,可复用工作流会先准备一次软件包和共享镜像,然后将这些运行道扇出为并行的目标 Docker 作业,并使用唯一构件
3. `package_telegram` 可选调用 `NPM Telegram Beta E2E`。当 `telegram_mode` 不是 `none` 时运行;如果软件包验收已解析出一个软件包,它会安装同一个 `package-under-test` 构件;独立 Telegram 调度仍可安装已发布的 npm 规
4. 如果软件包解析、Docker 验收或可选 Telegram 运行道失败,`summary` 会让工作流失败。
1. `resolve_package` 检出 `workflow_ref`,解析一个包候选项,写入 `.artifacts/docker-e2e-package/openclaw-current.tgz`,写入 `.artifacts/docker-e2e-package/package-candidate.json`,将两者作为 `package-under-test` 构件上传,并在 GitHub 步骤摘要中打印来源、工作流引用、包引用、版本、SHA-256 和配置文件。
2. `docker_acceptance` 使用 `ref=workflow_ref``package_artifact_name=package-under-test` 调用 `openclaw-live-and-e2e-checks-reusable.yml`。可复用工作流会下载该构件,验证 tarball 清单,在需要时准备 package-digest Docker 镜像,并针对该包运行选定的 Docker 通道,而不是打包工作流检出内容。当某个配置文件选择多个目标 `docker_lanes` 时,可复用工作流会准备一次包和共享镜像,然后将这些通道扇出为带有唯一构件的并行目标 Docker 作业
3. `package_telegram` 可选调用 `NPM Telegram Beta E2E`。当 `telegram_mode` 不是 `none` 时运行;如果 Package Acceptance 解析出了包,它会安装同一个 `package-under-test` 构件;独立 Telegram 调度仍可安装已发布的 npm 规
4. 如果包解析、Docker 验收或可选 Telegram 通道失败,`summary` 会使工作流失败。
### 候选来源
- `source=npm` 只接受 `openclaw@beta`、`openclaw@latest`,或精确的 OpenClaw 发布版本,例如 `openclaw@2026.4.27-beta.2`将其用于已发布 beta/稳定版验收。
- `source=ref` 会打包受信任的 `package_ref` 分支、标签或完整提交 SHA。解析器会获取 OpenClaw 分支/标签,验证选定提交可从仓库分支历史或发布标签到达,在分离 worktree 中安装依赖,并使`scripts/package-openclaw-for-docker.mjs` 打包。
- `source=url` 会下载一个 HTTPS `.tgz``package_sha256` 是必填项
- `source=artifact` `artifact_run_id``artifact_name` 下载一个 `.tgz``package_sha256` 可选,但应为外部共享构件提供它
- `source=npm` 只接受 `openclaw@beta`、`openclaw@latest`,或精确的 OpenClaw 发布版本,例如 `openclaw@2026.4.27-beta.2`用它进行已发布 beta/稳定版验收。
- `source=ref` 会打包受信任的 `package_ref` 分支、标签或完整提交 SHA。解析器会获取 OpenClaw 分支/标签,验证选定提交可从仓库分支历史或发布标签到达,在分离工作树中安装依赖,并`scripts/package-openclaw-for-docker.mjs` 打包。
- `source=url` 下载 HTTPS `.tgz``package_sha256` 为必填
- `source=artifact``artifact_run_id``artifact_name` 下载一个 `.tgz``package_sha256` 可选,但对于外部共享的构件应提供
保持 `workflow_ref``package_ref` 分离。`workflow_ref` 是运行测试的受信任工作流/harness 代码。`package_ref` 是`source=ref` 时被打包的源码提交。这使当前测试 harness 可以验证较旧的受信任源码提交,而无需运行旧的工作流逻辑。
保持 `workflow_ref``package_ref` 分离。`workflow_ref` 是运行测试的受信任工作流/harness 代码。`package_ref` 是 `source=ref` 时会被打包的源提交。这样当前测试 harness 就能验证较旧的受信任源提交,而无需运行旧的工作流逻辑。
### 套件配置文件
- `smoke``npm-onboard-channel-agent`、`gateway-network`、`config-reload`
- `package``npm-onboard-channel-agent`、`doctor-switch`、`update-channel-switch`、`upgrade-survivor`、`published-upgrade-survivor`、`plugins-offline`、`plugin-update`
- `product``package` 加上 `mcp-channels`、`cron-mcp-cleanup`、`openai-web-search-minimal`、`openwebui`
- `full` — 带 OpenWebUI 的完整 Docker 发布路径
- `full` — 带 OpenWebUI 的完整 Docker 发布路径块
- `custom` — 精确的 `docker_lanes`;当 `suite_profile=custom` 时必填
`package` 配置文件使用离线插件覆盖,因此已发布软件包验证不会受实时 ClawHub 可用性限制。可选 Telegram 运行道会在 `NPM Telegram Beta E2E` 中复用 `package-under-test` 构件,并为独立调度保留已发布 npm 规格路径。
`package` 配置文件使用离线插件覆盖,因此已发布包验证不会受 live ClawHub 可用性限制。可选 Telegram 通道会在 `NPM Telegram Beta E2E` 中复用 `package-under-test` 构件,同时为独立调度保留已发布 npm 规范路径。
有关专用更新和插件测试策略包括本地命令、Docker 运行道、软件包验收输入、发布默认值和故障分诊,请参阅[更新和插件测试](/zh-CN/help/testing-updates-plugins)。
有关专门的更新和插件测试策略包括本地命令、Docker 通道、Package Acceptance 输入、发布默认值和失败分诊,请参阅 [更新和插件测试](/zh-CN/help/testing-updates-plugins)。
发布检查会调用软件包验收,并使用 `source=artifact`、已准备的发布软件包构件、`suite_profile=custom`、`docker_lanes='doctor-switch update-channel-switch upgrade-survivor published-upgrade-survivor plugins-offline plugin-update'`、`published_upgrade_survivor_baselines=release-history`、`published_upgrade_survivor_scenarios=reported-issues` 和 `telegram_mode=mock-openai`。这会让软件包迁移、更新、陈旧插件依赖清理、离线插件、插件更新和 Telegram 证明都基于同一个已解析的软件包 tarball。跨 OS 发布检查仍覆盖 OS 特定的新手引导、安装器和平台行为;软件包/更新产品验证应从软件包验收开始。`published-upgrade-survivor` Docker 运行道每次运行验证一个已发布软件包基线。在软件包验收中,解析出的 `package-under-test` tarball 始终是候选项,而 `published_upgrade_survivor_baseline` 选择回退的已发布基线,默认为 `openclaw@latest`;失败运行道的重跑命令会保留该基线。设置 `published_upgrade_survivor_baselines=release-history` 可将运行道扩展到去重后的历史矩阵:最新六个稳定版本、`2026.4.23`,以及 `2026-03-15` 之前的最新稳定版本。设置 `published_upgrade_survivor_scenarios=reported-issues` 可将同一组基线扩展到按问题形态构造的 fixture覆盖 Feishu 配置、保留的 bootstrap/persona 文件、波浪号日志路径,以及陈旧旧版插件依赖根。单独的 `Update Migration` 工作流使用 `update-migration` Docker 运行道,并带有 `all-since-2026.4.23``plugin-deps-cleanup`,用于问题是穷尽式已发布更新清理,而不是常规完整发布 CI 覆盖范围。本地聚合运行可以通过 `OPENCLAW_UPGRADE_SURVIVOR_BASELINE_SPECS` 传入精确的软件包规格,也可以通过 `OPENCLAW_UPGRADE_SURVIVOR_BASELINE_SPEC` 保持单个运行道,例如 `openclaw@2026.4.15`,或设置 `OPENCLAW_UPGRADE_SURVIVOR_SCENARIOS` 来使用场景矩阵。已发布运行道会通过内置的 `openclaw config set` 命令配方配置基线,在 `summary.json` 中记录配方步骤,并在 Gateway 网关启动后探测 `/healthz`、`/readyz` 以及 RPC 状态。Windows 打包和安装器全新安装运行道还会验证已安装的软件包可以从原始绝对 Windows 路径导入 browser-control 覆盖。OpenAI 跨 OS agent-turn 冒烟测试在设置时默认使用 `OPENCLAW_CROSS_OS_OPENAI_MODEL`,否则使用 `openai/gpt-5.4`,因此安装和 Gateway 网关证明会留在 GPT-5 测试模型上,同时避免 GPT-4.x 默认值。
发布检查会使用 `source=artifact`、已准备的发布包构件、`suite_profile=custom`、`docker_lanes='doctor-switch update-channel-switch upgrade-survivor published-upgrade-survivor plugins-offline plugin-update'`、`published_upgrade_survivor_baselines=release-history`、`published_upgrade_survivor_scenarios=reported-issues` 和 `telegram_mode=mock-openai` 调用 Package Acceptance。这样可以让包迁移、更新、过时插件依赖清理、离线插件、plugin-update 和 Telegram 证明都基于同一个已解析包 tarball。跨 OS 发布检查仍覆盖 OS 特定的新手引导、安装器和平台行为;包/更新产品验证应从 Package Acceptance 开始。`published-upgrade-survivor` Docker 通道每次运行验证一个已发布包基线。在 Package Acceptance 中,解析出的 `package-under-test` tarball 始终是候选项,`published_upgrade_survivor_baseline` 选择回退的已发布基线,默认值为 `openclaw@latest`;失败通道的重新运行命令会保留该基线。设置 `published_upgrade_survivor_baselines=release-history` 可将该通道扩展到去重后的历史矩阵:最新六个稳定版本、`2026.4.23`,以及 `2026-03-15` 之前的最新稳定版本。设置 `published_upgrade_survivor_scenarios=reported-issues` 可将相同基线扩展到按 issue 形态构造的 fixture覆盖 Feishu 配置、保留的 bootstrap/persona 文件、波浪号日志路径和陈旧旧版插件依赖根。单独的 `Update Migration` 工作流在问题是穷尽式已发布更新清理,而不是普通 Full Release CI 广度时,会使用 `update-migration` Docker 通道及 `all-since-2026.4.23``plugin-deps-cleanup`。本地聚合运行可以用 `OPENCLAW_UPGRADE_SURVIVOR_BASELINE_SPECS` 传入精确包规范,用 `OPENCLAW_UPGRADE_SURVIVOR_BASELINE_SPEC` 保持单个通道,例如 `openclaw@2026.4.15`,或设置 `OPENCLAW_UPGRADE_SURVIVOR_SCENARIOS` 来使用场景矩阵。已发布通道会使用内置的 `openclaw config set` 命令配方配置基线,在 `summary.json` 中记录配方步骤,并在 Gateway 网关启动后探测 `/healthz`、`/readyz` 以及 RPC 状态。Windows 打包版和安装器全新安装通道还会验证已安装包能否从原始绝对 Windows 路径导入浏览器控制覆盖。OpenAI 跨 OS agent-turn smoke 在设置时默认使用 `OPENCLAW_CROSS_OS_OPENAI_MODEL`,否则使用 `openai/gpt-5.4`,因此安装和 Gateway 网关证明会留在 GPT-5 测试模型上,同时避免 GPT-4.x 默认值。
### 旧版兼容窗口
软件包验收为已发布软件包提供有界旧版兼容窗口。直到 `2026.4.25`软件包(包括 `2026.4.25-beta.*`)可以使用兼容路径:
Package Acceptance 为已发布包提供有界的旧版兼容窗口。直到 `2026.4.25` 的包(包括 `2026.4.25-beta.*`)可以使用兼容路径:
- `dist/postinstall-inventory.json` 中已知的私有 QA 条目可以指向 tarball 省略的文件;
- 当软件包未暴露 `gateway install --wrapper` 标志时,`doctor-switch` 可以跳过持久化子用例;
- `update-channel-switch` 可以从 tarball 派生的 git fixture 中剪除缺失的 `pnpm.patchedDependencies`,并可记录缺失的持久化 `update.channel`
- 插件冒烟测试可以读取旧版安装记录位置,或接受缺失的 marketplace 安装记录持久化;
- `plugin-update` 可以允许配置元数据迁移,同时仍要求安装记录和无重装行为保持不变。
- `dist/postinstall-inventory.json` 中已知的私有 QA 条目可以指向 tarball 省略的文件;
- 当包未暴露 `gateway install --wrapper` 标志时,`doctor-switch` 可以跳过持久化子用例;
- `update-channel-switch` 可以从 tarball 派生的 git fixture 中剪除缺失的 `pnpm.patchedDependencies`,并可记录缺失的持久化 `update.channel`
- 插件 smoke 可以读取旧版安装记录位置,或接受缺少 marketplace 安装记录持久化;
- `plugin-update` 可以允许配置元数据迁移,同时仍要求安装记录和不重新安装行为保持不变。
已发布的 `2026.4.26` 软件包也可以对已经发布的本地构建元数据戳文件发出警告。更晚的软件包必须满足现代契约;相同条件会失败,而不是警告或跳过。
已发布的 `2026.4.26` 包也可以对已经发布的本地构建元数据戳文件发出警告。更晚的包必须满足现代合约;相同条件会失败,而不是警告或跳过。
### 示例
@ -280,111 +299,111 @@ gh workflow run package-acceptance.yml \
-f docker_lanes='install-e2e plugin-update'
```
调试失败的软件包验收运行时,先查看 `resolve_package` 摘要,确认软件包来源、版本和 SHA-256。然后检查 `docker_acceptance` 子运行及其 Docker 构件:`.artifacts/docker-tests/**/summary.json`、`failures.json`、运行道日志、阶段计时和重跑命令。优先重跑失败的软件包配置文件或精确 Docker 运行道,而不是重跑完整发布验证。
调试失败的包验收运行时,先从 `resolve_package` 摘要开始,确认包来源、版本和 SHA-256。然后检查 `docker_acceptance` 子运行及其 Docker 工件:`.artifacts/docker-tests/**/summary.json`、`failures.json`、lane 日志、阶段耗时和重新运行命令。优先重新运行失败的包 profile 或精确的 Docker lane而不是重新运行完整发布验证。
## 安装冒烟测试
独的 `Install Smoke` 工作流通过自己的 `preflight` 作业复用同一个作用域脚本。它将冒烟覆盖拆分为 `run_fast_install_smoke``run_full_install_smoke`
`Install Smoke` 工作流通过自己的 `preflight` 作业复用同一个范围脚本。它将冒烟覆盖拆分为 `run_fast_install_smoke``run_full_install_smoke`
- **快速路径**会在拉取请求触及 Docker/软件包表面、内置插件软件包/manifest 变更,或 Docker 冒烟作业会覆盖的核心插件/渠道/Gateway 网关/插件 SDK 表面时运行。仅源码的内置插件变更、仅测试编辑和仅文档编辑不会预留 Docker worker。快速路径会构建一次根 Dockerfile 镜像,检查 CLI运行 agents delete shared-workspace CLI 冒烟测试,运行容器 gateway-network e2e验证一个内置扩展构建参数并在 240 秒聚合命令超时内运行有界内置插件 Docker 配置文件(每个场景的 Docker 运行单独设定上限)。
- **完整路径**保留 QR 软件包安装和安装器 Docker/更新覆盖用于夜间定时运行、手动调度、workflow-call 发布检查,以及真正触及安装器/软件包/Docker 表面的拉取请求。在完整模式下install-smoke 会准备或复用一个目标 SHA 的 GHCR 根 Dockerfile 冒烟镜像,然后将 QR 软件包安装、根 Dockerfile/Gateway 网关冒烟测试、安装器/更新冒烟测试,以及快速内置插件 Docker E2E 作为独立作业运行,因此安装器工作无需等待根镜像冒烟测试完成
- **快速路径**会在 pull request 触及 Docker/包表面、内置插件包/清单变更,或 Docker 冒烟作业覆盖的核心插件/渠道/Gateway 网关/插件 SDK 表面时运行。仅源码的内置插件变更、仅测试编辑和仅文档编辑不会预留 Docker worker。快速路径会构建一次根 Dockerfile 镜像,检查 CLI运行 agents delete shared-workspace CLI 冒烟测试,运行容器 gateway-network e2e验证一个内置扩展构建参数并在 240 秒的聚合命令超时内运行有界的内置插件 Docker profile每个场景的 Docker 运行单独设置上限)。
- **完整路径**为夜间计划运行、手动分发、workflow-call 发布检查,以及真正触及安装器/包/Docker 表面的 pull request 保留 QR 包安装和安装器 Docker/更新覆盖。在完整模式下install-smoke 会准备或复用一个目标 SHA 的 GHCR 根 Dockerfile 冒烟镜像,然后将 QR 包安装、根 Dockerfile/Gateway 网关冒烟测试、安装器/更新冒烟测试,以及快速内置插件 Docker E2E 作为独立作业运行,这样安装器工作就不会排在根镜像冒烟测试后面等待
`main` 推送(包括合并提交)不会强制完整路径;当变更作用域逻辑会在推送上请求完整覆盖时,工作流会保留快速 Docker 冒烟测试,并将完整安装冒烟测试留给夜间或发布验证。
`main` 推送(包括 merge commit不会强制使用完整路径当变更范围逻辑会在推送上请求完整覆盖时,工作流会保留快速 Docker 冒烟测试,并将完整安装冒烟测试留给夜间运行或发布验证。
较慢的 Bun 全局安装 image-provider 冒烟测试由 `run_bun_global_install_smoke` 单独控。它会在夜间计划和发布检查工作流中运行,手动 `Install Smoke` 调度也可以选择启用它,但拉取请求和 `main` 推送不会运行它。QR 和安装器 Docker 测试保留各自以安装为重点的 Dockerfile。
较慢的 Bun 全局安装 image-provider 冒烟测试由 `run_bun_global_install_smoke` 单独控。它会在夜间计划和发布检查工作流中运行,手动 `Install Smoke` 分发也可以选择加入它,但 pull request 和 `main` 推送不会运行它。QR 和安装器 Docker 测试保留各自专注安装的 Dockerfile。
## 本地 Docker E2E
`pnpm test:docker:all` 会预构建一个共享 live-test 镜像,将 OpenClaw 打包一次为 npm tarball并构建两个共享 `scripts/e2e/Dockerfile` 镜像:
`pnpm test:docker:all` 会预构建一个共享 live-test 镜像,将 OpenClaw 打包一次为 npm tarball并构建两个共享 `scripts/e2e/Dockerfile` 镜像:
- 一个用于安装器/更新/插件依赖运行道的裸 Node/Git runner
- 一个将同一个 tarball 安装到 `/app` 的功能镜像,用于常规功能运行道
- 一个用于安装器/更新/插件依赖 lane 的裸 Node/Git runner
- 一个功能镜像,将同一个 tarball 安装到 `/app`,用于普通功能 lane
Docker lane 定义位于 `scripts/lib/docker-e2e-scenarios.mjs`,规划器逻辑位于 `scripts/lib/docker-e2e-plan.mjs`运行器只执行选中的计划。调度器使用 `OPENCLAW_DOCKER_E2E_BARE_IMAGE``OPENCLAW_DOCKER_E2E_FUNCTIONAL_IMAGE` 为每个 lane 选择镜像,然后用 `OPENCLAW_SKIP_DOCKER_BUILD=1` 运行这些 lane。
Docker lane 定义位于 `scripts/lib/docker-e2e-scenarios.mjs`,规划器逻辑位于 `scripts/lib/docker-e2e-plan.mjs`runner 只执行选中的计划。调度器通过 `OPENCLAW_DOCKER_E2E_BARE_IMAGE``OPENCLAW_DOCKER_E2E_FUNCTIONAL_IMAGE` 为每个 lane 选择镜像,然后使`OPENCLAW_SKIP_DOCKER_BUILD=1` 运行 lane。
### 可调
### 可调参数
| 变量 | 默认值 | 目的 |
| 变量 | 默认值 | 用途 |
| -------------------------------------- | ------- | --------------------------------------------------------------------------------------------- |
| `OPENCLAW_DOCKER_ALL_PARALLELISM` | 10 | 普通 lane 的主池槽位数。 |
| `OPENCLAW_DOCKER_ALL_TAIL_PARALLELISM` | 10 | 对提供商敏感的尾池槽位数。 |
| `OPENCLAW_DOCKER_ALL_LIVE_LIMIT` | 9 | 并发 live lane 上限,避免提供商限流。 |
| `OPENCLAW_DOCKER_ALL_PARALLELISM` | 10 | 普通 lane 的主池 slot 数。 |
| `OPENCLAW_DOCKER_ALL_TAIL_PARALLELISM` | 10 | provider 敏感的 tail-pool slot 数。 |
| `OPENCLAW_DOCKER_ALL_LIVE_LIMIT` | 9 | 并发 live lane 上限,避免 provider 限流。 |
| `OPENCLAW_DOCKER_ALL_NPM_LIMIT` | 10 | 并发 npm install lane 上限。 |
| `OPENCLAW_DOCKER_ALL_SERVICE_LIMIT` | 7 | 并发多服务 lane 上限。 |
| `OPENCLAW_DOCKER_ALL_START_STAGGER_MS` | 2000 | lane 启动之间的错峰间隔,用于避免 Docker 守护进程创建风暴;设置为 `0` 表示不做错峰。 |
| `OPENCLAW_DOCKER_ALL_LANE_TIMEOUT_MS` | 7200000 | 每个 lane 的兜底超时120 分钟);选定的 live/tail lane 使用更严格的上限。 |
| `OPENCLAW_DOCKER_ALL_DRY_RUN` | 未设置 | `1` 会打印调度器计划,而不运行 lane。 |
| `OPENCLAW_DOCKER_ALL_LANES` | 未设置 | 逗号分隔的精确 lane 列表;跳过清理烟测,以便智能体复现某个失败的 lane。 |
| `OPENCLAW_DOCKER_ALL_START_STAGGER_MS` | 2000 | lane 启动之间的错峰时间,用于避免 Docker daemon 创建风暴;设为 `0` 表示不做错峰。 |
| `OPENCLAW_DOCKER_ALL_LANE_TIMEOUT_MS` | 7200000 | 每个 lane 的兜底超时120 分钟);选定的 live/tail lane 使用更严格的上限。 |
| `OPENCLAW_DOCKER_ALL_DRY_RUN` | unset | `1` 会打印调度器计划而不运行 lane。 |
| `OPENCLAW_DOCKER_ALL_LANES` | unset | 逗号分隔的精确 lane 列表;跳过清理冒烟测试,以便智能体复现单个失败 lane。 |
比有效上限更重的 lane 仍从空池启动,然后独占运行,直到释放容量。本地聚合会预检 Docker、移除陈旧的 OpenClaw E2E 容器、输出活跃 lane 状态、持久化 lane 耗时以支持最长优先排序,并默认在第一次失败后停止调度新的池化 lane。
比有效上限更重的 lane 仍可从空池启动,然后独占运行,直到释放容量。本地聚合会预检 Docker,移除陈旧的 OpenClaw E2E 容器,发出活跃 lane 状态,持久化 lane 耗时以支持最长优先排序,并默认在第一次失败后停止调度新的池化 lane。
### 可复用 live/E2E 工作流
可复用 live/E2E 工作流会询问 `scripts/test-docker-all.mjs --plan-json` 需要哪个包、镜像类型、live 镜像、lane 和凭据覆盖范围。随后 `scripts/docker-e2e.mjs` 会把该计划转换为 GitHub 输出和摘要。它会通过 `scripts/package-openclaw-for-docker.mjs` 打包 OpenClaw下载当前运行的包产物,或从 `package_artifact_run_id` 下载包产物;验证 tarball 清单;当计划需要包安装式 lane 时,通过 Blacksmith 的 Docker layer cache 构建并推送带有包摘要标签的 bare/functional GHCR Docker E2E 镜像;并复用提供的 `docker_e2e_bare_image`/`docker_e2e_functional_image` 输入或现有的包摘要镜像而不是重新构建。Docker 镜像拉取会使用有界的每次尝试 180 秒超时进行重试,使卡住的 registry/cache 流能够快速重试,而不是占用 CI 关键路径的大部分时间。
可复用 live/E2E 工作流会询问 `scripts/test-docker-all.mjs --plan-json` 需要哪些包、镜像类型、live 镜像、lane 和凭据覆盖。随后 `scripts/docker-e2e.mjs` 会将该计划转换为 GitHub 输出和摘要。它会通过 `scripts/package-openclaw-for-docker.mjs` 打包 OpenClaw下载当前运行的包工件,或从 `package_artifact_run_id` 下载包工件;验证 tarball 清单;当计划需要已安装包的 lane 时,通过 Blacksmith 的 Docker layer cache 构建并推送带有包摘要标签的裸/功能 GHCR Docker E2E 镜像;并复用提供的 `docker_e2e_bare_image`/`docker_e2e_functional_image` 输入或已有的包摘要镜像而不是重新构建。Docker 镜像拉取会以每次尝试 180 秒的有界超时重试,因此卡住的 registry/cache 流会快速重试,而不是消耗大部分 CI 关键路径时间。
### 发布路径分块
发布 Docker 覆盖会`OPENCLAW_SKIP_DOCKER_BUILD=1` 运行较小的分块作业,这样每个分块只拉取自己需要的镜像类型,并通过同一个加权调度器执行多个 lane
发布 Docker 覆盖会使用带有 `OPENCLAW_SKIP_DOCKER_BUILD=1` 的更小分块作业,这样每个分块只拉取它需要的镜像类型,并通过同一个加权调度器执行多个 lane
- `OPENCLAW_DOCKER_ALL_PROFILE=release-path`
- `OPENCLAW_DOCKER_ALL_CHUNK=core | package-update-openai | package-update-anthropic | package-update-core | plugins-runtime-plugins | plugins-runtime-services | plugins-runtime-install-a..h`
当前发布 Docker 分块 `core`、`package-update-openai`、`package-update-anthropic`、`package-update-core`、`plugins-runtime-plugins`、`plugins-runtime-services`,以及 `plugins-runtime-install-a``plugins-runtime-install-h`。`plugins-runtime-core`、`plugins-runtime` 和 `plugins-integrations`是聚合插件/运行时别名。`install-e2e` lane 别名仍然是两个提供商安装器 lane 的聚合手动重跑别名。
当前发布 Docker 分块 `core`、`package-update-openai`、`package-update-anthropic`、`package-update-core`、`plugins-runtime-plugins`、`plugins-runtime-services`,以及 `plugins-runtime-install-a``plugins-runtime-install-h`。`plugins-runtime-core`、`plugins-runtime` 和 `plugins-integrations` 仍是聚合插件/运行时别名。`install-e2e` lane 别名仍是两个 provider 安装器 lane 的聚合手动重新运行别名。
当完整 release-path 覆盖请求 OpenWebUI 时,OpenWebUI 会折叠到 `plugins-runtime-services` 中,并且仅为只调度 OpenWebUI 的情况保留独立的 `openwebui` 分块。内置渠道更新 lane 会针对临时 npm 网络失败重试一次。
当完整 release-path 覆盖请求 OpenWebUI 时,它会并入 `plugins-runtime-services`,并且只为仅 OpenWebUI 的分发保留独立的 `openwebui` 分块。内置渠道更新 lane 会针对临时 npm 网络失败重试一次。
每个分块都会上传 `.artifacts/docker-tests/`,其中包含 lane 日志、耗时、`summary.json`、`failures.json`、阶段耗时、调度器计划 JSON、慢 lane 表以及每个 lane 的重跑命令。工作流 `docker_lanes` 输入会针对已准备的镜像运行选中的 lane而不是运行分块作业这会把失败 lane 调试限制在一个定向 Docker 作业内,并为该次运行准备、下载或复用包产物;如果选中的 lane 是 live Docker lane则定向作业会在本地为该次重跑构建 live-test 镜像。生成的每个 lane GitHub 重跑命令会在这些值存在时包含 `package_artifact_run_id`、`package_artifact_name` 和已准备镜像输入,因此失败的 lane 可以复用失败运行中的精确包和镜像。
每个分块都会上传 `.artifacts/docker-tests/`,其中包含 lane 日志、耗时、`summary.json`、`failures.json`、阶段耗时、调度器计划 JSON、慢 lane 表和每个 lane 的重新运行命令。工作流 `docker_lanes` 输入会用已准备的镜像运行选定 lane而不是运行分块作业这会将失败 lane 调试限定在一个有目标的 Docker 作业中,并为该运行准备、下载或复用包工件;如果选中的 lane 是 live Docker lane则目标作业会为该重新运行在本地构建 live-test 镜像。生成的每 lane GitHub 重新运行命令会在这些值存在时包含 `package_artifact_run_id`、`package_artifact_name` 和已准备镜像输入,因此失败的 lane 可以复用失败运行中的精确包和镜像。
```bash
pnpm test:docker:rerun <run-id> # download Docker artifacts and print combined/per-lane targeted rerun commands
pnpm test:docker:timings <summary> # slow-lane and phase critical-path summaries
```
定时 live/E2E 工作流每天运行完整的 release-path Docker 套件。
计划 live/E2E 工作流每天运行完整 release-path Docker 套件。
## 插件预发布
`Plugin Prerelease` 是成本更高的产品/包覆盖,因此它是一个独立工作流,由 `Full Release Validation` 或显式操作员调度。普通拉取请求、`main` 推送和独立手动 CI 调度不会启用该套件。它会在八个扩展 worker 之间均衡内置插件测试;这些扩展分片作业一次最多运行两个插件配置组,每组使用一个 Vitest worker 和更大的 Node 堆,因此导入繁重的插件批次不会创建额外的 CI 作业。仅发布使用的 Docker 预发布路径会把定向 Docker lane 按小组批处理,避免为一到三分钟的作业预留数十个 runner。
`Plugin Prerelease` 是成本更高的产品/包覆盖,因此它是一个`Full Release Validation` 或显式 operator 分发的独立工作流。普通 pull request、`main` 推送和独立的手动 CI 分发都会关闭该套件。它将内置插件测试均衡分配到八个扩展 worker这些扩展分片作业一次最多运行两个插件配置组每组一个 Vitest worker并使用更大的 Node heap这样 import 密集的插件批次不会创建额外 CI 作业。仅发布的 Docker 预发布路径会以小组批量运行有目标的 Docker lane避免为一到三分钟的作业预留几十个 runner。
## QA Lab
QA Lab 在主智能作用域工作流之外有专用 CI lane。
QA Lab 在主智能范围工作流之外有专用 CI lane。
- `Parity gate` 工作流会在匹配的 PR 变更和手动调度时运行;它会构建私有 QA 运行时,并比较模拟 GPT-5.5 和 Opus 4.6 的 agentic 包。
- `QA-Lab - All Lanes` 工作流每晚在 `main` 上运行,也可手动调度;它会把模拟 parity gate、live Matrix lane以及 live Telegram 和 Discord lane 扇出为并行作业。Live 作业使用 `qa-live-shared` 环境Telegram/Discord 使用 Convex 租约。
- `Parity gate` 工作流在匹配的 PR 变更和手动分发时运行;它会构建私有 QA 运行时,并比较 mock GPT-5.5 和 Opus 4.6 agentic 包。
- `QA-Lab - All Lanes` 工作流每晚在 `main` 上运行,也可手动分发;它会将 mock parity gate、live Matrix lane以及 live Telegram 和 Discord lane 作为并行作业展开。Live 作业使用 `qa-live-shared` 环境Telegram/Discord 使用 Convex 租约。
发布检查会使用确定性模拟提供商和模拟限定模型(`mock-openai/gpt-5.5` 与 `mock-openai/gpt-5.5-alt`)运行 Matrix 和 Telegram live 传输 lane因此渠道契约会与 live 模型延迟和普通提供商插件启动隔离。Live 传输 Gateway 网关会禁用记忆搜索,因为 QA parity 会单独覆盖记忆行为;提供商连通性由单独的 live 模型、原生提供商和 Docker 提供商套件覆盖。
发布检查会使用确定性的 mock provider 和 mock-qualified 模型(`mock-openai/gpt-5.5` 和 `mock-openai/gpt-5.5-alt`)运行 Matrix 和 Telegram live 传输 lane因此渠道契约与 live 模型延迟和普通 provider-plugin 启动隔离。live 传输 Gateway 网关会禁用记忆搜索,因为 QA parity 会单独覆盖记忆行为provider 连接性由独立的 live 模型、原生 provider 和 Docker provider 套件覆盖。
Matrix 在定时和发布门禁中使用 `--profile fast`,仅当检出的 CLI 支持时才添加 `--fail-fast`。CLI 默认值和手动工作流输入仍然是 `all`;手动 `matrix_profile=all` 调度总是把完整 Matrix 覆盖分片为 `transport`、`media`、`e2ee-smoke`、`e2ee-deep` 和 `e2ee-cli` 作业。
Matrix 在计划和发布门禁中使用 `--profile fast`,仅在检出的 CLI 支持时添加 `--fail-fast`。CLI 默认值和手动工作流输入仍为 `all`;手动 `matrix_profile=all` 分发始终将完整 Matrix 覆盖分片为 `transport`、`media`、`e2ee-smoke`、`e2ee-deep` 和 `e2ee-cli` 作业。
`OpenClaw Release Checks` 也会在发布批准前运行发布关键的 QA Lab lane它的 QA parity gate 会把候选包和基线包作为并行 lane 作业运行,然后把两个产物下载到一个小型报告作业中进行最终 parity 比较。
`OpenClaw Release Checks` 还会在发布审批前运行发布关键的 QA Lab lane其 QA parity gate 将候选包和基线包作为并行 lane 作业运行,然后将两个工件下载到一个小型报告作业中,用于最终 parity 比较。
除非变更确实触及 QA 运行时、模型包 parity 或 parity 工作流拥有的表面,否则不要把 PR 落地路径置于 `Parity gate` 之后。对于普通渠道、配置、文档或单元测试修复,将其视为可选信号,并遵循作用域内 CI/检查证据。
不要将 PR 落地路径置于 `Parity gate` 之后,除非变更确实触及 QA 运行时、模型包 parity,或 parity 工作流拥有的表面。对于普通渠道、配置、文档或单元测试修复,将其视为可选信号,并遵循范围化的 CI/检查证据。
## CodeQL
`CodeQL` 工作流有意作为窄范围的第一遍安全扫描器,而不是完整仓库扫描。每日、手动和非草稿拉取请求防护运行会扫描 Actions 工作流代码以及风险最高的 JavaScript/TypeScript 表面,并使用高置信度安全查询,筛选高/关键 `security-severity`
`CodeQL` 工作流有意作为窄范围的第一轮安全扫描器,而不是完整仓库扫描。每日、手动和非草稿 pull request 防护运行会扫描 Actions 工作流代码以及最高风险的 JavaScript/TypeScript 表面,并使用高置信度安全查询,过滤到高/严重 `security-severity`
拉取请求防护保持轻量:它只会针对 `.github/actions`、`.github/codeql`、`.github/workflows`、`packages` 或 `src` 下的变更启动,并运行与定时工作流相同的高置信度安全矩阵。Android 和 macOS CodeQL 不在 PR 默认项中
pull request 防护保持轻量:它只会因 `.github/actions`、`.github/codeql`、`.github/workflows`、`packages` 或 `src` 下的变更启动,并运行与计划工作流相同的高置信度安全矩阵。Android 和 macOS CodeQL 不在 PR 默认范围内
### 安全类别
| 类别 | 表面 |
| ------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------- |
| `/codeql-security-high/core-auth-secrets` | 认证、密钥、沙箱、cron 和 gateway 基线 |
| `/codeql-security-high/channel-runtime-boundary` | 核心渠道实现契约,加上渠道插件运行时、gateway、插件 SDK、密钥、审计接触点 |
| `/codeql-security-high/network-ssrf-boundary` | 核心 SSRF、IP 解析、网络保护、web-fetch 和插件 SDK SSRF 策略表面 |
| `/codeql-security-high/mcp-process-tool-boundary` | MCP 服务器、进程执行助手、出站投递和智能体工具执行门禁 |
| `/codeql-security-high/plugin-trust-boundary` | 插件安装、加载器、manifest、registry、package-manager install、source-loading 和插件 SDK 包契约信任表面 |
| `/codeql-security-high/core-auth-secrets` | 认证、密钥、沙箱、cron 和 Gateway 网关基线 |
| `/codeql-security-high/channel-runtime-boundary` | 核心渠道实现契约,以及渠道插件运行时、Gateway 网关、插件 SDK、密钥、审计触点 |
| `/codeql-security-high/network-ssrf-boundary` | 核心 SSRF、IP 解析、网络防护、web-fetch 和插件 SDK SSRF 策略表面 |
| `/codeql-security-high/mcp-process-tool-boundary` | MCP 服务器、进程执行辅助工具、出站投递,以及智能体工具执行关卡 |
| `/codeql-security-high/plugin-trust-boundary` | 插件安装、加载器、清单、注册表、包管理器安装、源码加载,以及插件 SDK 包契约信任表面 |
### 平台特定安全分片
- `CodeQL Android Critical Security` — 定时 Android 安全分片。在 workflow sanity 接受的最小 Blacksmith Linux runner 上为 CodeQL 手动构建 Android 应用。上传到 `/codeql-critical-security/android`
- `CodeQL macOS Critical Security` — 每周/手动 macOS 安全分片。在 Blacksmith macOS 上为 CodeQL 手动构建 macOS 应用,从上传的 SARIF 中过滤依赖构建结果,并上传到 `/codeql-critical-security/macos` 下。由于即使干净运行macOS 构建也主导运行时间,因此它被保留在每日默认项之外
- `CodeQL Android Critical Security` — 定时 Android 安全分片。在工作流健全性检查接受的最小 Blacksmith Linux runner 上为 CodeQL 手动构建 Android 应用。上传到 `/codeql-critical-security/android`
- `CodeQL macOS Critical Security` — 每周/手动 macOS 安全分片。在 Blacksmith macOS 上为 CodeQL 手动构建 macOS 应用,从上传的 SARIF 中过滤依赖构建结果,并上传到 `/codeql-critical-security/macos`。它被排除在每日默认项之外因为即使结果干净macOS 构建也会主导运行时间
### 关键质量类别
`CodeQL Critical Quality` 是对应的非安全分片。它只在较小的 Blacksmith Linux runner 上,对窄范围高价值表面运行 error-severity、非安全 JavaScript/TypeScript 质量查询。它的拉取请求防护有意小于定时配置文件:非草稿 PR 只会为智能体命令/模型/工具执行和回复分发代码、配置 schema/迁移/IO 代码、认证/密钥/沙箱/安全代码、核心渠道和内置渠道插件运行时、gateway 协议/服务器方法、记忆运行时/SDK 胶水、MCP/进程/出站投递、提供商运行时/模型目录、会话诊断/投递队列、插件加载器、插件 SDK/包契约,或插件 SDK 回复运行时变更,运行匹配`agent-runtime-boundary`、`config-boundary`、`core-auth-secrets`、`channel-runtime-boundary`、`gateway-runtime-boundary`、`memory-runtime-boundary`、`mcp-process-runtime-boundary`、`provider-runtime-boundary`、`session-diagnostics-boundary`、`plugin-boundary`、`plugin-sdk-package-contract` 和 `plugin-sdk-reply-runtime` 分片。CodeQL 配置和质量工作流变更会运行全部十二个 PR 质量分片。
`CodeQL Critical Quality` 是对应的非安全分片。它只在较小的 Blacksmith Linux runner 上,针对窄范围的高价值表面运行错误严重级别、非安全的 JavaScript/TypeScript 质量查询。它的拉取请求守卫有意小于定时配置:非草稿 PR 只会为智能体命令/模型/工具执行和回复分发代码、配置 schema/迁移/IO 代码、认证/密钥/沙箱/安全代码、核心渠道和内置渠道插件运行时、Gateway 网关协议/服务器方法、记忆运行时/SDK 胶水代码、MCP/进程/出站投递、提供商运行时/模型目录、会话诊断/投递队列、插件加载器、插件 SDK/包契约,或插件 SDK 回复运行时变更,运行对应`agent-runtime-boundary`、`config-boundary`、`core-auth-secrets`、`channel-runtime-boundary`、`gateway-runtime-boundary`、`memory-runtime-boundary`、`mcp-process-runtime-boundary`、`provider-runtime-boundary`、`session-diagnostics-boundary`、`plugin-boundary`、`plugin-sdk-package-contract` 和 `plugin-sdk-reply-runtime` 分片。CodeQL 配置和质量工作流变更会运行全部十二个 PR 质量分片。
手动调度接受:
@ -392,40 +411,40 @@ Matrix 在定时和发布门禁中使用 `--profile fast`,仅当检出的 CLI
profile=all|agent-runtime-boundary|config-boundary|core-auth-secrets|channel-runtime-boundary|gateway-runtime-boundary|memory-runtime-boundary|mcp-process-runtime-boundary|plugin-boundary|plugin-sdk-package-contract|plugin-sdk-reply-runtime|provider-runtime-boundary|session-diagnostics-boundary
```
窄配置文件教学/迭代钩子,用于单独运行一个质量分片。
窄配置是用于单独运行一个质量分片的教学/迭代钩子
| 类别 | 范围 |
| 类别 | 表面 |
| ------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| `/codeql-critical-quality/core-auth-secrets` | 认证、密钥、沙箱、cron 和 Gateway 网关安全边界代码 |
| `/codeql-critical-quality/config-boundary` | 配置 schema、迁移、规范化和 IO 契约 |
| `/codeql-critical-quality/gateway-runtime-boundary` | Gateway 网关协议 schema 和服务器方法契约 |
| `/codeql-critical-quality/channel-runtime-boundary` | 核心渠道和内置渠道插件实现契约 |
| `/codeql-critical-quality/agent-runtime-boundary` | 命令执行、模型/提供商分发、自动回复分发和队列,以及 ACP 控制平面运行时契约 |
| `/codeql-critical-quality/mcp-process-runtime-boundary` | MCP 服务器和工具桥接、进程监督 helper以及出站投递契约 |
| `/codeql-critical-quality/memory-runtime-boundary` | 记忆宿主 SDK、记忆运行时 facade、记忆插件 SDK 别名、记忆运行时激活胶水代码,以及记忆 Doctor 命令 |
| `/codeql-critical-quality/session-diagnostics-boundary` | 回复队列内部机制、会话投递队列、出站会话绑定/投递 helper、诊断事件/日志包表面,以及会话 Doctor CLI 契约 |
| `/codeql-critical-quality/plugin-sdk-reply-runtime` | 插件 SDK 入站回复分发、回复 payload/分块/运行时 helper、渠道回复选项、投递队列,以及会话/线程绑定 helper |
| `/codeql-critical-quality/mcp-process-runtime-boundary` | MCP 服务器和工具桥、进程监督辅助工具,以及出站投递契约 |
| `/codeql-critical-quality/memory-runtime-boundary` | 记忆主机 SDK、记忆运行时门面、记忆插件 SDK 别名、记忆运行时激活胶水代码,以及记忆 Doctor 命令 |
| `/codeql-critical-quality/session-diagnostics-boundary` | 回复队列内部机制、会话投递队列、出站会话绑定/投递辅助工具、诊断事件/日志包表面,以及会话 Doctor CLI 契约 |
| `/codeql-critical-quality/plugin-sdk-reply-runtime` | 插件 SDK 入站回复分发、回复载荷/分块/运行时辅助工具、渠道回复选项、投递队列,以及会话/线程绑定辅助工具 |
| `/codeql-critical-quality/provider-runtime-boundary` | 模型目录规范化、提供商认证和设备发现、提供商运行时注册、提供商默认值/目录,以及 Web/搜索/抓取/嵌入注册表 |
| `/codeql-critical-quality/ui-control-plane` | 控制 UI 启动、本地持久化、Gateway 网关控制流,以及任务控制平面运行时契约 |
| `/codeql-critical-quality/web-media-runtime-boundary` | 核心 Web 抓取/搜索、媒体 IO、媒体理解、图像生成和媒体生成运行时契约 |
| `/codeql-critical-quality/plugin-boundary` | 加载器、注册表、公共表面和插件 SDK 入口点契约 |
| `/codeql-critical-quality/plugin-sdk-package-contract` | 已发布包侧插件 SDK 源码和插件包契约 helper |
| `/codeql-critical-quality/ui-control-plane` | 控制 UI 引导、本地持久化、Gateway 网关控制流,以及任务控制平面运行时契约 |
| `/codeql-critical-quality/web-media-runtime-boundary` | 核心 Web 抓取/搜索、媒体 IO、媒体理解、图像生成,以及媒体生成运行时契约 |
| `/codeql-critical-quality/plugin-boundary` | 加载器、注册表、公开表面,以及插件 SDK 入口点契约 |
| `/codeql-critical-quality/plugin-sdk-package-contract` | 已发布包侧插件 SDK 源码和插件包契约辅助工具 |
质量与安全保持分离,这样质量发现可以被排期、衡量、禁用或扩展而不会掩盖安全信号。Swift、Python 和内置插件 CodeQL 扩展只应在这些窄配置文件具有稳定运行时和信号之后,作为有范围或分片的后续工作加回
质量与安全保持分离,这样质量发现就可以被定时运行、衡量、禁用或扩展而不会遮蔽安全信号。Swift、Python 和内置插件的 CodeQL 扩展,只有在窄配置具备稳定运行时间和信号之后,才应作为有范围或分片的后续工作重新加入
## 维护工作流
### Docs Agent
`Docs Agent` 工作流是事件驱动的 Codex 维护通道,用于让现有文档与最近落地的变更保持一致。它没有纯定时计划:`main` 上一次成功的非 bot push CI 运行可以触发它,手动调度也可以直接运行它。当 `main` 已继续前进,或过去一小时内已经创建过另一个未跳过的 Docs Agent 运行时workflow-run 调用会跳过。运行时,它会审阅从上一个未跳过的 Docs Agent 源 SHA 到当前 `main` 的提交范围,因此一次每小时运行可以覆盖自上次文档处理以来累积的所有 main 变更。
`Docs Agent` 工作流是一个事件驱动的 Codex 维护通道,用于让现有文档与最近落地的变更保持一致。它没有纯定时计划:`main` 上一次成功的非机器人 push CI 运行可以触发它,也可以通过手动调度直接运行。工作流运行触发时,如果 `main` 已经推进,或过去一小时内已创建另一个未跳过的 Docs Agent 运行,则会跳过。运行时,它会审查从上一个未跳过的 Docs Agent 源 SHA 到当前 `main` 的提交范围,因此一次每小时运行可以覆盖自上次文档检查以来累积的所有 main 变更。
### Test Performance Agent
`Test Performance Agent` 工作流是事件驱动的 Codex 维护通道,用于处理慢测试。它没有纯定时计划:`main` 上一次成功的非 bot push CI 运行可以触发它,但如果同一个 UTC 日已经有另一个 workflow-run 调用运行过或正在运行,它会跳过。手动调度会绕过这个每日活动门禁。该通道会构建一次全套分组 Vitest 性能报告,让 Codex 只做小范围、保持覆盖率的测试性能修复而不是大范围重构然后重新运行全套报告并拒绝会降低通过基线测试数量的变更。如果基线有失败测试Codex 只能修复明显失败,并且 agent 之后的全套报告必须通过,才会提交任何内容。当 `main` 在 bot push 落地前前进时,该通道会 rebase 已验证的补丁,重新运行 `pnpm check:changed`,并重试 push冲突的过期补丁会被跳过。它使用 GitHub 托管的 Ubuntu因此 Codex action 可以保持与 docs agent 相同的 drop-sudo 安全姿态。
`Test Performance Agent` 工作流是一个事件驱动的 Codex 维护通道,用于慢测试。它没有纯定时计划:`main` 上一次成功的非机器人 push CI 运行可以触发它但如果另一个工作流运行触发当天UTC已经运行或正在运行它会跳过。手动调度会绕过该每日活动关卡。该通道会构建完整套件分组的 Vitest 性能报告,让 Codex 只做小型、保留覆盖率的测试性能修复而不是广泛重构然后重新运行完整套件报告并拒绝会降低通过基线测试数量的变更。如果基线存在失败测试Codex 只能修复明显失败项,并且智能体之后的完整套件报告必须通过,之后才会提交任何内容。当 `main` 在机器人推送落地前推进时,该通道会 rebase 已验证的补丁,重新运行 `pnpm check:changed`,并重试推送;存在冲突的过期补丁会被跳过。它使用 GitHub 托管的 Ubuntu因此 Codex action 可以保持与 docs agent 相同的 drop-sudo 安全姿态。
### 合并后的重复 PR
`Duplicate PRs After Merge` 工作流是一个手动维护者工作流,用于落地后的重复清理。它默认 dry-run并且只有在 `apply=true` 时才关闭明确列出的 PR。在修改 GitHub 之前,它会验证已落地 PR 已合并,并且每个重复项要么有共同引用的 issue要么有重叠的变更 hunk。
`Duplicate PRs After Merge` 工作流是供维护者使用的手动工作流,用于落地后的重复项清理。它默认 dry-run且仅在 `apply=true` 时关闭明确列出的 PR。在变更 GitHub 之前,它会验证已落地 PR 已合并,并且每个重复项要么有共享的引用 issue要么有重叠的变更 hunk。
```bash
gh workflow run duplicate-after-merge.yml \
@ -434,29 +453,29 @@ gh workflow run duplicate-after-merge.yml \
-f apply=true
```
## 本地检查门禁和变更路由
## 本地检查关卡和变更路由
本地变更通道路由逻辑位于 `scripts/changed-lanes.mjs`,并由 `scripts/check-changed.mjs` 执行。该本地检查门禁在架构边界上比宽泛的 CI 平台范围更严格:
本地变更通道逻辑位于 `scripts/changed-lanes.mjs`,并由 `scripts/check-changed.mjs` 执行。该本地检查关卡对架构边界的要求比广泛的 CI 平台范围更严格:
- 核心生产变更会运行核心生产和核心测试 typecheck以及核心 lint/guard
- 仅核心测试变更只会运行核心测试 typecheck 和核心 lint
- 插件生产变更会运行插件生产和插件测试 typecheck,以及插件 lint
- 仅插件测试变更会运行插件测试 typecheck 和插件 lint
- 公共插件 SDK 或插件契约变更会扩展到插件 typecheck因为插件依赖这些核心契约Vitest 插件扫测仍然是显式测试工作);
- 仅发布元数据的版本 bump 会运行定向的版本/配置/根依赖检查;
- 未知根目录/配置变更会保守失败到所有检查通道。
- 核心生产变更会运行核心生产和核心测试类型检查,以及核心 lint/守卫
- 仅核心测试变更只运行核心测试类型检查,以及核心 lint
- 插件生产变更会运行插件生产和插件测试类型检查,以及插件 lint
- 仅插件测试变更会运行插件测试类型检查,以及插件 lint
- 公开插件 SDK 或插件契约变更会扩展到插件类型检查因为插件依赖这些核心契约Vitest 插件扫描仍然是显式测试工作);
- 仅发布元数据的版本提升会运行定向版本/配置/根依赖检查;
- 未知根目录/配置变更会保守失败到所有检查通道。
本地变更测试路由位于 `scripts/test-projects.test-support.mjs`,并且刻意比 `check:changed` 更便宜:直接测试编辑运行自身,源码编辑优先使用显式映射,然后是同级测试和导入图依赖项。共享群组房间投递配置是显式映射之一:对群组可见回复配置、源回复投递模式或 message-tool system prompt 的变更,会经过核心回复测试以及 Discord 和 Slack 投递回归测试,这样共享默认值变更会在第一次 PR push 前失败。只有当变更在 harness 范围内足够大,以至于便宜的映射集合不是可信代理时,才使用 `OPENCLAW_TEST_CHANGED_BROAD=1 pnpm test:changed`
本地变更测试路由位于 `scripts/test-projects.test-support.mjs`,并且有意比 `check:changed` 更低成本:直接测试编辑会运行它们自身,源码编辑优先使用显式映射,然后是同级测试和导入图依赖项。共享群组房间投递配置是显式映射之一:对群组可见回复配置、源回复投递模式或消息工具系统提示词的变更,会路由到核心回复测试以及 Discord 和 Slack 投递回归测试,这样共享默认值变更会在第一次 PR 推送之前失败。只有当变更在 harness 范围内足够广,以至于低成本映射集合不是可信代理时,才使用 `OPENCLAW_TEST_CHANGED_BROAD=1 pnpm test:changed`
## Testbox 验证
从仓库根目录运行 Testbox且对于宽泛证明,优先使用一个全新预热的 box。在一个复用、过期或刚报告了异常大同步的 box 上投入慢门禁之前,先在 box 内运行 `pnpm testbox:sanity`
从仓库根目录运行 Testbox优先为广泛证明使用新预热的 box。在把慢关卡花费到一个被复用、已过期或刚报告了异常大同步的 box 上之前,先在该 box 内运行 `pnpm testbox:sanity`
所需根文件(例如 `pnpm-lock.yaml`)消失,或 `git status --short` 显示至少 200 个已跟踪删除时,完整性检查会快速失败。这通常意味着远程同步状态不是 PR 的可信副本;停止该 box并预热一个新的而不是调试产品测试失败。对于有意的大量删除 PR请为该完整性检查运行设置 `OPENCLAW_TESTBOX_ALLOW_MASS_DELETIONS=1`
必需的根文件(例如 `pnpm-lock.yaml`)消失,或 `git status --short` 显示至少 200 个已跟踪删除项时,健全性检查会快速失败。这通常意味着远程同步状态不是 PR 的可信副本;应停止该 box 并预热一个新的,而不是调试产品测试失败。对于有意进行大量删除的 PR为该健全性运行设置 `OPENCLAW_TESTBOX_ALLOW_MASS_DELETIONS=1`
如果本地 Blacksmith CLI 调用在同步阶段停留超过五分钟且没有同步后的输出,`pnpm testbox:run` 也会终止该调用。设置 `OPENCLAW_TESTBOX_SYNC_TIMEOUT_MS=0` 可禁用该保护,或为异常大的本地 diff 使用更大的毫秒值。
`pnpm testbox:run` 还会终止本地 Blacksmith CLI 调用:如果它停留在同步阶段超过五分钟且没有同步后输出。设置 `OPENCLAW_TESTBOX_SYNC_TIMEOUT_MS=0` 可禁用该保护,或为异常大的本地 diff 使用更大的毫秒值。
当 Blacksmith 不可用或更适合使用自有云容量时Crabbox 是仓库自有的第二条远程 box Linux 证明路径。预热一个 box通过项目工作流对它 hydrate,然后通过 Crabbox CLI 运行命令:
Crabbox 是仓库自有的第二条远程 box 路径,用于在 Blacksmith 不可用,或更适合使用自有云容量时提供 Linux 验证。预热一个 box通过项目工作流完成初始化,然后通过 Crabbox CLI 运行命令:
```bash
pnpm crabbox:warmup -- --idle-timeout 90m
@ -465,7 +484,7 @@ pnpm crabbox:run -- --id <cbx_id> --shell "OPENCLAW_TESTBOX=1 pnpm check:changed
pnpm crabbox:stop -- <cbx_id>
```
`.crabbox.yaml` 负责提供商、同步和 GitHub Actions hydrate 默认值。它会排除本地 `.git`,这样 hydrate 后的 Actions checkout 会保留自己的远程 Git 元数据,而不是同步维护者本地 remote 和对象存储;它还会排除绝不应传输的本地运行时/构建产物。`.github/workflows/crabbox-hydrate.yml` 负责 checkout、Node/pnpm 设置、`origin/main` 抓取,以及后续 `crabbox run --id <cbx_id>` 命令会 source 的非密钥环境交接。
`.crabbox.yaml` 负责提供商、同步和 GitHub Actions 初始化默认值。它会排除本地 `.git`,这样已初始化的 Actions checkout 会保留自己的远程 Git 元数据,而不是同步维护者本地的远程配置和对象存储;它还会排除绝不应传输的本地运行时/构建产物。`.github/workflows/crabbox-hydrate.yml` 负责 checkout、Node/pnpm 设置、`origin/main` 获取,以及后续 `crabbox run --id <cbx_id>` 命令会读取的非 secret 环境交接。
## 相关内容

File diff suppressed because it is too large Load Diff