PR Auto-Approver

¿Qué es?

Una GitHub App serverless que auto-aprueba pull requests cuando todos los checks de CI pasan. Opcionalmente, antes de aprobar, envía el diff a Amazon Bedrock para una revisión de código con IA que detecta bugs, vulnerabilidades de seguridad y problemas de rendimiento.

El proyecto se divide en cuatro repositorios con responsabilidades claras:

Repositorio	Versión	Rol
pr-auto-approver	v1.0.0	App Node.js/Probot — lógica de negocio
terraform-aws-pr-auto-approver	v1.2.0	Módulo Terraform AWS — Lambda, API Gateway, Secrets Manager
terraform-github-pr-auto-approver	v1.0.0	Módulo Terraform GitHub — webhooks por repositorio
pr-auto-approver-infra	latest	Despliegue privado — consume los módulos, branch protegido

Arquitectura

Loading diagram...

Demo en producción

PR auto-aprobado por el bot después de que CI pasa

El screenshot muestra el flujo completo en el repositorio de prueba: el owner comenta sobre la integración con Secrets Manager, el bot aprueba automáticamente con «All checks passed. Auto-approved by pr-auto-approver bot.», y el PR se mergea — todo en menos de un minuto.

¿Cómo funciona?

El flujo completo desde que se abre un PR hasta la aprobación:

Se abre un PR o se completa un check suite → GitHub envía un webhook
API Gateway HTTP recibe el POST y lo enruta a Lambda
Lambda (Probot) valida la firma HMAC del webhook usando el secreto de Secrets Manager
Verifica que el autor del PR esté en la lista de autores permitidos
Espera a que todos los check suites completen exitosamente
Si Bedrock está habilitado: envía el diff al modelo para revisión de código
Si la revisión no encuentra problemas → aprueba el PR
Si encuentra problemas → publica comentarios de revisión y solicita cambios

Seguridad

La gestión de secretos sigue el principio de mínimo privilegio:

La clave privada de la GitHub App y el webhook secret se almacenan en AWS Secrets Manager
Lambda recibe los ARNs de Secrets Manager como variables de entorno — los valores crudos nunca se exponen
En cold start, Lambda lee los secretos y los cachea en memoria para invocaciones subsecuentes
El rol IAM tiene permisos de secretsmanager:GetSecretValue solo para los ARNs específicos
Permisos de Bedrock (bedrock:InvokeModel) se agregan solo cuando bedrock_enabled = true

Módulo AWS — recursos creados

El módulo terraform-aws-pr-auto-approver v1.2.0 crea:

Recurso	Configuración
Lambda	Node.js 20, 128 MB / 30s (sin Bedrock), 256 MB / 120s (con Bedrock)
API Gateway v2	HTTP API con ruta POST
Secrets Manager	2 secretos (private key + webhook secret)
IAM Role	Least-privilege, Bedrock condicional
CloudWatch Logs	14 días de retención
CloudWatch Dashboard	Métricas Lambda, API GW, Bedrock (opcional)
CloudWatch Alarms	Errores, throttles, duración alta, 5xx
SNS Topic	Alertas por email (opcional)
AWS Budget	Presupuesto mensual Bedrock (opcional)

Módulo GitHub — webhooks

El módulo terraform-github-pr-auto-approver v1.0.0 configura webhooks en cada repositorio especificado:

module "approver_github" {
  source  = "jonmatum/pr-auto-approver/github"
  version = "~> 1.0"
 
  webhook_url         = module.approver_infra.webhook_url
  webhook_secret      = var.webhook_secret
  github_repositories = ["repo-one", "repo-two"]
}

Suscribe cada repositorio a los eventos pull_request y check_suite, apuntando al endpoint de API Gateway.

Revisión de código con Bedrock

Bot solicitando cambios después de encontrar vulnerabilidades en el código

Cuando bedrock_enabled = true, Lambda envía el diff del PR a Claude 3 Haiku (configurable) antes de aprobar. En el screenshot, el bot detectó 3 problemas en código intencionalmente vulnerable — incluyendo una inyección SQL por concatenación directa de req.query.id — y solicitó cambios en lugar de aprobar. El modelo revisa:

Bugs y errores de lógica
Vulnerabilidades de seguridad
Problemas de rendimiento
Manejo de errores faltante

Si Bedrock está deshabilitado o falla, el bot hace fallback a auto-aprobación después de que CI pasa — la revisión de IA nunca bloquea el flujo.

¿Por qué importa?

En equipos con agentes de IA que generan PRs automáticamente — como el content agent de esta base de conocimiento — el cuello de botella se mueve de «escribir código» a «revisar y aprobar PRs». Este bot elimina la espera manual para PRs de autores confiables que ya pasaron CI, mientras que la capa opcional de Bedrock agrega una red de seguridad de revisión de código sin intervención humana.

Referencias

GitHub Apps documentation — GitHub, 2024. Documentación oficial para crear GitHub Apps con permisos granulares.
Probot framework — GitHub, 2024. Framework para construir GitHub Apps con Node.js.
AWS Secrets Manager — AWS, 2024. Servicio para gestionar secretos con rotación automática.
Amazon API Gateway HTTP APIs — AWS, 2024. APIs HTTP de baja latencia y bajo costo.
Amazon Bedrock — AWS, 2024. Servicio gestionado para acceder a modelos fundacionales.

¿Qué es?

El proyecto se divide en cuatro repositorios con responsabilidades claras:

Repositorio	Versión	Rol
pr-auto-approver	v1.0.0	App Node.js/Probot — lógica de negocio
terraform-aws-pr-auto-approver	v1.2.0	Módulo Terraform AWS — Lambda, API Gateway, Secrets Manager
terraform-github-pr-auto-approver	v1.0.0	Módulo Terraform GitHub — webhooks por repositorio
pr-auto-approver-infra	latest	Despliegue privado — consume los módulos, branch protegido

Arquitectura

Loading diagram...

Demo en producción

PR auto-aprobado por el bot después de que CI pasa

¿Cómo funciona?

El flujo completo desde que se abre un PR hasta la aprobación:

Se abre un PR o se completa un check suite → GitHub envía un webhook
API Gateway HTTP recibe el POST y lo enruta a Lambda
Lambda (Probot) valida la firma HMAC del webhook usando el secreto de Secrets Manager
Verifica que el autor del PR esté en la lista de autores permitidos
Espera a que todos los check suites completen exitosamente
Si Bedrock está habilitado: envía el diff al modelo para revisión de código
Si la revisión no encuentra problemas → aprueba el PR
Si encuentra problemas → publica comentarios de revisión y solicita cambios

Seguridad

La gestión de secretos sigue el principio de mínimo privilegio:

La clave privada de la GitHub App y el webhook secret se almacenan en AWS Secrets Manager
Lambda recibe los ARNs de Secrets Manager como variables de entorno — los valores crudos nunca se exponen
En cold start, Lambda lee los secretos y los cachea en memoria para invocaciones subsecuentes
El rol IAM tiene permisos de secretsmanager:GetSecretValue solo para los ARNs específicos
Permisos de Bedrock (bedrock:InvokeModel) se agregan solo cuando bedrock_enabled = true

Módulo AWS — recursos creados

El módulo terraform-aws-pr-auto-approver v1.2.0 crea:

Recurso	Configuración
Lambda	Node.js 20, 128 MB / 30s (sin Bedrock), 256 MB / 120s (con Bedrock)
API Gateway v2	HTTP API con ruta POST
Secrets Manager	2 secretos (private key + webhook secret)
IAM Role	Least-privilege, Bedrock condicional
CloudWatch Logs	14 días de retención
CloudWatch Dashboard	Métricas Lambda, API GW, Bedrock (opcional)
CloudWatch Alarms	Errores, throttles, duración alta, 5xx
SNS Topic	Alertas por email (opcional)
AWS Budget	Presupuesto mensual Bedrock (opcional)

Módulo GitHub — webhooks

El módulo terraform-github-pr-auto-approver v1.0.0 configura webhooks en cada repositorio especificado:

module "approver_github" {
  source  = "jonmatum/pr-auto-approver/github"
  version = "~> 1.0"
 
  webhook_url         = module.approver_infra.webhook_url
  webhook_secret      = var.webhook_secret
  github_repositories = ["repo-one", "repo-two"]
}

Suscribe cada repositorio a los eventos pull_request y check_suite, apuntando al endpoint de API Gateway.

Revisión de código con Bedrock

Bot solicitando cambios después de encontrar vulnerabilidades en el código

Bugs y errores de lógica
Vulnerabilidades de seguridad
Problemas de rendimiento
Manejo de errores faltante

Si Bedrock está deshabilitado o falla, el bot hace fallback a auto-aprobación después de que CI pasa — la revisión de IA nunca bloquea el flujo.

¿Por qué importa?

Referencias

GitHub Apps documentation — GitHub, 2024. Documentación oficial para crear GitHub Apps con permisos granulares.
Probot framework — GitHub, 2024. Framework para construir GitHub Apps con Node.js.
AWS Secrets Manager — AWS, 2024. Servicio para gestionar secretos con rotación automática.
Amazon API Gateway HTTP APIs — AWS, 2024. APIs HTTP de baja latencia y bajo costo.
Amazon Bedrock — AWS, 2024. Servicio gestionado para acceder a modelos fundacionales.

PR Auto-Approver

¿Qué es?

Arquitectura

Demo en producción

¿Cómo funciona?

Seguridad

Módulo AWS — recursos creados

Módulo GitHub — webhooks

Revisión de código con Bedrock

¿Por qué importa?

Referencias

Contenido relacionado

PR Auto-Approver

¿Qué es?

Arquitectura

Demo en producción

¿Cómo funciona?

Seguridad

Módulo AWS — recursos creados

Módulo GitHub — webhooks

Revisión de código con Bedrock

¿Por qué importa?

Referencias

Contenido relacionado