# PR #39667 完整报告

- 仓库：`vllm-project/vllm`
- 标题：Bump actions/github-script from 8.0.0 to 9.0.0
- 合并时间：2026-06-03 02:26
- 原文链接：http://prhub.com.cn/vllm-project/vllm/pull/39667

---

## 执行摘要

这是一个由 Dependabot 自动发起的依赖升级 PR，将 GitHub Actions 中的 actions/github-script 从 v8 升级到 v9。涉及 4 个 workflow 文件，仅更新 SHA 引用。v9 引入了 getOctokit 工厂函数和 Orchestration ID 追踪，同时变更为 ESM-only，可能存在 breaking changes，但 vllm 的工作流脚本未受影响。

## 功能与动机

保持 CI 依赖的最新状态，获取 v9 的安全更新和新功能。PR body 详细列出了 v9 的 release notes，包括 getOctokit 支持、Orchestration ID 以及 breaking changes（require('@actions/github') 不再工作）。

## 实现拆解

1. 在 `.github/workflows/issue_autolabel.yml` 中更新 3 处 `uses` 字段的 SHA（对应 v8.0.0 -> v9.0.0）。
2. 在 `.github/workflows/new_pr_bot.yml` 中更新 2 处 SHA。
3. 在 `.github/workflows/add_label_automerge.yml` 中更新 1 处 SHA。
4. 在 `.github/workflows/pre-commit.yml` 中更新 1 处 SHA。

所有变更均为机械替换，无逻辑改动。

### 无，变更仅为 SHA 地址替换，无源码片段值得展示。

## 评论区精华

无 review 评论。

## 风险与影响

- **风险**：v9 为 ESM-only，若 workflow 脚本中使用了 `require('@actions/github')` 会运行时失败。经检查 vllm 的 workflow 脚本均未使用该模式，风险可控。但仍需观察 CI 是否全部通过。
- **影响**：仅影响 CI 流程，不涉及代码生成或推理服务。预期无功能变化，但升级后新功能（如 getOctokit）可被后续开发使用。

## 关联脉络

本 PR 是常规依赖升级，与近期其他依赖升级（如 #44065 flash-attention 同步）类似，属于持续维护的一部分。