Wip Repo Permissions Hook 是一款专为 GitHub 仓库权限管理设计的自动化安全工具,旨在防止内部开发信息在未经授权的情况下意外公开暴露。该工具通过强制性的命名规则和前置检查机制,确保所有对外公开的代码仓库必须同时存在一个对应的私有版本。具体而言,当一个名为 `project` 的仓库被设置为公开时,系统会要求其必须存在一个同组织下的 `{project}-private` 私有仓库作为配套。这个私有仓库专门用于存放开发过程中的敏感内容,例如 AI 辅助生成的计划文档、任务清单(todos)、开发进度更新以及各类技术笔记,通常以 `ai/` 目录结构组织。而对应的公开仓库则仅包含可发布的代码,不包含这些内部上下文信息。这种分离模式有效隔离了生产环境与开发上下文,降低了因人为疏忽或流程漏洞导致商业机密、项目路线图或未发布功能泄露的风险。
核心功能特点
- 强制公开仓库必须拥有对应的 `-private` 私有仓库作为配套
- 自动阻止无私有版本的仓库被设为公开状态
- 支持对指定组织下所有公开仓库进行批量审计
- 可作为 Claude Code 钩子或 OpenClaw 插件集成到开发工作流中
- 提供 MCP 服务接口,支持通过标准协议调用权限检查功能
- 豁免外部项目的 Fork 仓库,避免误判合法协作场景
适用场景
该工具特别适合那些重视知识产权保护、内部开发透明度管理以及代码发布流程规范化的团队和组织。在大型软件开发项目中,经常会有大量处于开发阶段或规划中的内容需要临时存储,例如产品路线图草案、API 设计讨论、实验性功能原型等。如果这些内容被错误地标记为公开,可能会被竞争对手轻易获取,造成战略上的被动。Wip Repo Permissions Hook 通过强制执行 `{name}-private` 的命名约定,将这些敏感信息集中存放在专用私有仓库中,从而形成一道自动化防线。此外,对于使用 AI 编程助手(如 Claude)的团队来说,AI 生成的 `ai/` 文件夹常常包含详细的任务分解、代码生成建议和调试日志,这些信息若外泄可能暴露技术实现细节。借助此工具,可以确保只有经过审核的干净代码进入公开仓库。无论是初创公司保护核心技术,还是企业级开发维护合规性,该工具都能显著降低人为操作失误带来的安全风险。