Intégrer OpenClaw au CI, c’est répondre à trois questions : qui déclenche, où ça s’exécute, comment ça s’authentifie. Les runners macOS hébergés par GitHub et les runners auto-hébergés sur MacCloud coexistent : les premiers pour les étapes légères, les seconds quand le disque, les kexts ou les services résidents comptent.

1. Déclencheurs : ne pas tout lancer à chaque push

Jobs longs via workflow_dispatch ou planification ; filtres de chemins sur les PR pour économiser les minutes. Isolez OpenClaw dans un job dédié pour ne pas être coupé dans une matrice de lint générique.

2. Secrets, jetons, audit

Secrets de prod dans GitHub Environments avec relecteurs obligatoires. Pour les API MacCloud ou tickets, des jetons à courte durée avec rotation—jamais en dur dans le dépôt. Les journaux d’audit doivent permettre de retrouver « quel run a utilisé quel identifiant ».

Plancher : tout ce qui touche des Mac de prod ou la facturation doit être révocable et traçable.

3. Runners auto-hébergés sur MacCloud

Après enregistrement sur un Mac dédié, ajoutez des labels spécifiques OpenClaw (ex. runs-on: [self-hosted, macOS, openclaw]) et isolez des files de build iOS génériques. Avant maintenance ou upgrade OS, désactivez le runner côté GitHub pour éviter les machines à moitié mises à jour.

4. Cache, artefacts, journaux

Grosses dépendances via Actions Cache ou registre interne ; journaux et rapports en artefacts pour corréler avec les événements OpenClaw. Les clés de cache incluent le hash des fichiers de verrouillage.

5. Limiter le rayon d’explosion

Timeouts et plafonds de retry sur les étapes OpenClaw ; erreurs non récupérables (auth, quota) : échec immédiat + label, pas de boucle infinie. Cohérence de backoff avec scénarios d’automatisation.

6. Liste de contrôle

  • Les déclencheurs couvrent branche par défaut, PR, manuel ?
  • La protection d’environnement bloque les PR de fork non revues ?
  • Les labels de runner correspondent un à un à la matrice ?
  • Les artefacts contiennent des journaux utiles au triage ?

Si des processus résidents cohabitent avec des runners, relisez MacCloud en pratique pour disque, arrêt gracieux et limites de facturation.