执行摘要

• 一句话：修复 GitHub 工作流中重复作业名称，防止分支保护绕过。
• 推荐动作：建议技术管理者关注此 PR 作为 CI 最佳实践，特别是涉及分支保护的工作流设计。工程师可以精读 scripts/ci/check_workflow_job_names.py 脚本，学习如何通过预提交钩子自动化检查配置错误，并应用到其他类似场景。

功能与动机

根据 PR body，GitHub 分支保护仅通过作业名称检查状态，重复名称会导致一个工作流的通过作业满足另一个工作流的要求，从而绕过分支保护。例如，在 PR #20208 中，pr-test-npu.yml 的 pr-test-finish 作业通过，而 pr-test.yml 的相同名称作业失败，导致自动合并错误进行，因此需要修复此漏洞以确保 CI 可靠性。

实现拆解

实现分为两个部分：1) 修改工作流文件：将 .github/workflows/pr-test-npu.yml 中的 pr-test-finish 作业重命名为 pr-test-npu-finish，以及 .github/workflows/auto-tune.yml 中的 lint 作业重命名为 auto-tune-lint，以消除重复。2) 添加检查机制：新增脚本 scripts/ci/check_workflow_job_names.py，定义受保护作业名称集（pr-test-finish 和 lint），检查所有工作流文件中的重复，并集成到 .pre-commit-config.yaml 的预提交钩子中，强制执行唯一性检查。

关键文件：

• .github/workflows/pr-test-npu.yml（模块 CI/Workflow）: 修改作业名称以防止 NPU 测试工作流中的 pr-test-finish 与主测试工作流重复，直接关联分支保护绕过问题
• .github/workflows/auto-tune.yml（模块 CI/Workflow）: 修改作业名称以防止自动调优工作流中的 lint 与其他工作流重复，消除另一个潜在分支保护漏洞
• scripts/ci/check_workflow_job_names.py（模块 CI/Tooling）: 新增脚本，定义受保护作业名称集并检查所有工作流文件中的重复，自动化防止未来配置错误
• .pre-commit-config.yaml（模块 Development）: 集成预提交钩子，触发作业名称检查脚本，确保开发时即发现重复问题

关键符号：main() in scripts/ci/check_workflow_job_names.py

评论区精华

在 review 中，alexnails 提出非阻塞性评论，建议扩展预提交钩子的文件匹配模式，从只匹配 pr-test..yml 到匹配所有工作流文件（.github/workflows/.yml），以确保全面检查。作者在第二个 commit 中采纳了这个建议，将 files 模式改为 ^.github/workflows/.*.yml$，从而完善了检查范围，此讨论聚焦于设计改进。

• 预提交钩子文件匹配模式扩展 (design): 作者采纳建议，在第二个 commit 中修改为匹配所有 .yml 文件，完善了检查机制

风险与影响

• 风险：风险较低：1) 重命名作业可能影响依赖这些名称的外部工具或 CI 配置，但通过脚本检查可确保唯一性。2) 预提交钩子可能增加开发流程的轻微开销，但脚本运行快速。3) 如果没有正确配置预提交钩子或脚本逻辑错误，分支保护可能仍存在漏洞，但新增的自动化检查有助于缓解此风险。
• 影响：影响范围：确保所有 CI 工作流的作业名称唯一，防止错误的自动合并，提升代码质量保证和分支保护有效性。对最终用户无直接影响，但对开发团队和 CI 流程有正面影响，减少因 CI 绕过导致的问题回归，尤其对 NPU 和自动调优相关工作流有针对性改进。
• 风险标记：配置变更风险, 分支保护漏洞修复

关联脉络

• PR #20208 Remove maxItems=1 restriction when tool_choice is specified: 在此 PR 的 body 中被引用为例，展示了重复作业名称如何导致分支保护绕过，触发自动合并错误，是本 PR 修复的直接动因