オープンクロー就地CircleCI Webhook を検証し lockfile 漂移を走査、要約HTTP で戻す手順です。Node 22.16+/24openclaw doctor、ループバック+トンネルが前提です。ゲートウェイはパイプライン入口で身元とペイロードを束ねる層です。GitHub Checks 版併読。

つまずきの整理

1. 広域無認証公開はシークレット流出のリスク。2. プロキシの JSON 整形で署名不一致。3. 共有 clone で lockfile 差分が混線します。

判断表:ゲートウェイ・認証・作業領域・戻し

観点推奨避ける
待受127.0.0.1+トンネル/プロキシ広域直公開
身元CircleCI シークレット署名+冪等キークエリだけの合言葉
lockfileパイプライン単位の隔離 clone共有ワークツリー
要約POST+指数バックオフ失敗放置

前置条件(Node・openclaw CLI・トークンと最小権限)

24 系列または22.16+をシェルと LaunchAgentPATH で揃え、openclaw CLI を入れ openclaw doctor で TLS を点検します。DashboardCircleCI シークレットはキーチェーン等に閉じ、repo トークンは読み取り中心、要約 POST 先のみ書き込みに限定します。LaunchAgent でヘルス監視します。

CircleCI Webhook と検証の設定手順

設定で Webhook を作り workflow-completed 等に限定し、共有シークレットで生ボディHMAC 検証します。URL は ssh -RIngress127.0.0.1 待受へ中継し JSON 改変を避けます。パイプライン番号・リビジョン・成否を抜き、delivery id で重複を抑止します。

チェックリスト
  • イベントを完了系のみに限定した
  • シークレットを UI とプロセスで一致させた
  • プロキシがボディを改変しないことを確認した

OpenClaw スキル/スクリプト雛形(lockfile 解析・要約)

イベントごとに隔離領域で浅 clonepackage-lock.json 等へ git diff で漂移を見ます。サマリと成否を JSONPOST します。npm ci は本流へ寄せゲートウェイは検査のみが安全です。

git fetch origin "$REV" --depth=1 && git checkout -q FETCH_HEAD git diff --exit-code -- package-lock.json || echo drift
jq -n --arg t "$SUMMARY" '{text:$t,ok:$OK}'|curl -sS -H "Content-Type: application/json" -d @- -X POST "$URL"

CI 依存取得シナリオとの接続

依存取得本体はキャッシュ記事プリロード記事へ接続し、ゲートウェイは検知・lockfile・要約に寄せます。

署名/タイムアウト/権限の FAQ

署名が一致しない

シークレット不一致とプロキシ改変を疑い、生バイトで検証します。

ハンドラがタイムアウトする

clone 深度とプロキシを見直し、検査のみにするかキューへ載せ、バックオフで再送します。

要約 POST が 403 や 401

トークンスコープと IP 制限を確認し最小権限だけをプロセスへ渡します。

まとめ:ループバック・署名・隔離 clone・要約 POST が核です。MacPull のリモート Mac で常駐させます。購入ヘルプの SSH 手順で接続できます。ホームブログはログイン不要です。

常駐ゲートウェイ向け

ノード選定と SSH:CircleCI 連携をリモート Mac で安定運用

ヘルプセンターで SSH 手順を確認し、購入ページでリージョンを選びます。ホーム料金もログイン不要です。

複数リージョン
SSH
柔軟な契約
サポート