GitHub Rulesets×Required Workflows: Agentic CIを止めずに統制する

AIアシスタントがPR生成量を増やすほど、リポジトリ単位の個別ブランチ保護だけでは統制が追いつきません。必要なのは、組織全体で再利用できる統制契約です。

参考: https://github.blog/changelog/

RulesetsとRequired Workflowsは、プラットフォームAPIとして扱うと機能します。入力はリポジトリ属性やリスク階層、出力は署名付き判定と修正ガイドに固定します。こうすると現場の裁量を残しつつ、中央統制を壊さず運用できます。

実務上の要点は、変更意図を先に分類することです。docsのみ、低リスクリファクタ、本番挙動変更の3区分にし、検証深度を変えます。小変更まで重い検査を回す無駄を減らし、危険変更に検証資源を集中できます。

各マージでは証跡を残します。workflow ID、artifactハッシュ、policyハッシュ、レビュー/承認対応、デプロイ先情報です。検索可能に保持すれば監査対応時間は大幅に短縮します。

失敗パターンは共通です。巨大ワークフロー一本化、チャット手動バイパス、統制ワークフロー障害時の巻き戻し手順不足。統制パイプラインも本番システムとして、段階展開とSLO管理が必要です。

導入は30-60-90で進めるのが現実的です。分類標準化、主要リポジトリ移行、例外失効とレポート自動化の順で進めます。

目的は開発速度を落とすことではありません。緊急停止を減らし、継続的な変更を安心して回すことです。