Retour au blogDéveloppement

GitHub Agentic Workflows : automatiser la doc entre vos dépôts GitHub

CZSyn
8 juillet 2026
6 min

GitHub détaille comment son équipe Aspire fait rédiger sa documentation par un agent IA entre deux dépôts distincts : 82 pull requests fusionnées, 44,8 heures de délai médian, zéro accès en écriture direct.

Deux écrans affichant une pull request de code et un brouillon de documentation générée automatiquement, reliés par un flux de données
Ce qu'il faut retenir
  1. GitHub a détaillé le 8 juillet 2026 un système d'agents IA qui génère des pull requests de documentation entre deux dépôts distincts (microsoft/aspire et microsoft/aspire.dev), sans jamais donner à l'agent un accès en écriture direct à GitHub.
  2. Sur une fenêtre glissante de 30 jours, 396 pull requests de code fusionnées ont déclenché 82 pull requests de documentation : toutes fusionnées, aucune rejetée, avec un délai médian de 44,8 heures.
  3. La sécurité repose sur un contrat safe-outputs : l'agent ne fait que proposer une intention JSON, un job séparé et une GitHub App à portée restreinte se chargent de créer réellement la pull request, toujours en brouillon et jamais auto-fusionnée.

Résumé généré par IA

Le 8 juillet 2026, l'équipe Aspire de GitHub (dix personnes qui développent des outils pour applications distribuées) a publié le détail d'un système qui a fait fusionner 82 pull requests de documentation en 44,8 heures de médiane après la pull request de code correspondante, sans embaucher le moindre rédacteur technique supplémentaire. Le nom de l'outil : GitHub Agentic Workflows. La promesse : un agent IA qui rédige la documentation d'un dépôt à partir du code livré dans un autre dépôt, sans jamais recevoir les clés d'écriture de GitHub.

Le problème qu'ils résolvent, tout développeur qui a travaillé en équipe le connaît. Un ingénieur merge une fonctionnalité. Le rédacteur technique, s'il existe, la découvre des semaines plus tard en essayant de reconstituer le diff. Il relance l'ingénieur, qui a déjà la tête sur autre chose et ne se souvient plus que de la moitié du sujet. La documentation sort parfois après que la fonctionnalité a déjà été livrée en production, parfois deux fois. GitHub appelle ça la « reverse engineering tax ». Chez Aspire, le produit vit dans microsoft/aspire et la documentation vit dans microsoft/aspire.dev : deux dépôts, deux cibles de déploiement, deux chaînes de revue. Exactement le scénario où l'automatisation classique cale, parce que personne ne veut distribuer un token GitHub à large portée à un agent IA.

Ce qu'est GitHub Agentic Workflows

GitHub Agentic Workflows est un projet de l'équipe GitHub Next. Le principe : GitHub Actions, mais avec un modèle de langage comme processeur de tâche, et des garde-fous pensés pour passer une revue de sécurité.

  • Un fichier markdown comme workflow. Le workflow s'écrit dans un simple fichier .github/workflows/mon-workflow.md, avec un frontmatter façon YAML en tête et un prompt en langage naturel en dessous.
  • Une compilation déterministe. La commande de compilation génère un fichier .lock.yml voisin, un workflow GitHub Actions classique, versionné avec le reste du code.
  • Un agent qui n'écrit jamais directement sur GitHub. Il produit une intention, un bloc JSON qui décrit les pull requests, issues ou commentaires qu'il aimerait créer.
  • Un safe-outputs handler séparé. Ce job matérialise l'intention via une GitHub App dédiée, à portée limitée. L'agent a un accès en lecture et un prompt, les écritures passent par un tuyau étroit et vérifiable, avec des listes d'autorisation explicites.

Le pipeline concret chez Aspire

Le workflow qui fait le travail s'appelle pr-docs-check et vit dans microsoft/aspire. Il se déclenche sur une pull request fermée contre main ou une branche release, à condition qu'elle ait réellement été fusionnée.

Avant même de réveiller l'agent, un résolveur de branche cible tourne en bash pur et déterministe. Il cherche, dans l'ordre : le milestone de la pull request, le milestone de l'issue liée (en parsant les mentions Fixes ou Closes dans le corps du texte), la base de la pull request si elle correspond à un nom de branche de release, et à défaut la branche main. Résultat : l'agent sait exactement où atterrir, sans avoir à deviner.

L'agent lit ensuite le diff, parcourt les issues liées, et décide si une documentation est nécessaire. Si oui, il rédige le contenu directement dans une copie de travail du dépôt de documentation, en suivant le style et les conventions déjà en place. Il émet une intention de création de pull request et s'arrête là. Le handler prend le relais : titre préfixé, label dédié, toujours en brouillon, jamais de fusion automatique, branche de base restreinte à une liste autorisée, et un reviewer assigné automatiquement, la même personne qui a approuvé la pull request de code d'origine. Un job compagnon poste un commentaire sur la pull request source avec le lien vers la pull request de documentation.

Un extrait simplifié du contrat de sécurité, tel que publié par GitHub :

safe-outputs:
  create-pull-request:
    title-prefix: "[docs] "
    labels: [docs-from-code]
    draft: true
    allowed-base-branches: [main, release/*]
    target-repo: "microsoft/aspire.dev"
    protected-files: blocked
    fallback-as-issue: true

Les chiffres, sans enjoliver

GitHub a publié une fenêtre glissante de 30 jours, du 3 mai au 2 juin 2026, à cheval sur la fin de la version 13.3 d'Aspire et le début de la 13.4 :

  • 396 pull requests de code fusionnées dans microsoft/aspire (338 sur main, 50 sur release/13.3, 8 sur release/13.2).
  • 396 exécutions du workflow pr-docs-check, une par pull request.
  • 82 pull requests de documentation créées sur microsoft/aspire.dev : toutes fusionnées, aucune fermée sans fusion, aucune encore ouverte.
  • Répartition des cibles : 52 vers release/13.3, 27 vers release/13.4, 3 vers main.
  • Délai médian de fusion côté documentation : 44,8 heures, avec 38% des pull requests fusionnées en moins de 24 heures et 96% en moins de 7 jours.

Le ratio de 396 exécutions pour 82 pull requests n'est pas un raté : c'est l'agent qui répond qu'aucune documentation n'est nécessaire plus de 300 fois, sur des refontes internes, des correctifs de tests ou des montées de version de dépendances. Le taux de fusion de 100% dit l'inverse : quand l'agent propose une documentation, elle est la bonne. GitHub précise avoir resserré le prompt après une première phase avec trop de faux positifs.

Ce que ça change pour une équipe française

Le pattern intéresse au-delà d'Aspire. Beaucoup d'agences et de PME françaises tournent déjà sur GitHub Actions et séparent code et documentation, parfois entre un dépôt applicatif et un site généré avec Docusaurus, VitePress ou Astro. La brique qui manquait n'était pas l'IA elle-même, c'était un moyen de la laisser écrire dans un second dépôt sans distribuer un token à large portée. Le modèle d'une GitHub App scopée à deux dépôts précis, combiné à des pull requests toujours en brouillon et jamais auto-fusionnées, est ce qui rend l'idée acceptable pour une revue de sécurité sérieuse.

Pour une petite équipe, la version minimale du pattern tient en trois règles : ne jamais donner à l'agent un accès en écriture directe, faire valider chaque documentation générée par la personne qui a réellement livré la fonctionnalité, et prévoir un filet (ici, la création d'une issue si la pull request échoue) plutôt que de laisser une tâche disparaître silencieusement.

Notre lecture chez CZSyn

Ce qui nous frappe dans ce cas d'usage, ce n'est pas la prouesse du modèle de langage, c'est l'architecture de confiance construite autour. L'agent ne décide jamais seul de ce qui part en production : il propose, un humain nommé (celui qui a écrit le code) valide, et toute la mécanique de sécurité tient dans un fichier de configuration lisible. C'est exactement le type de garde-fou que nous recommandons à nos clients quand ils veulent brancher un agent IA sur des automatisations existantes : commencer par un domaine à faible risque, ici une pull request en brouillon jamais fusionnée automatiquement, et n'étendre le périmètre que lorsque la mesure confirme que l'agent vise juste.

La contrepartie, qu'il ne faut pas balayer, c'est le travail d'ingénierie en amont : le résolveur de branche déterministe, le contrat de sorties sécurisées, le prompt resserré après les faux positifs. Rien de tout cela n'est automatique par défaut. Une PME qui voudrait reproduire ce résultat doit budgéter ce travail de configuration, pas seulement l'abonnement à l'outil.

Envie d'automatiser la documentation de vos projets GitHub ?

Nous mettons en place des workflows d'agents IA sécurisés sur vos dépôts : documentation technique, changelogs, revues automatisées. Audit gratuit sous 24h.

29 AVIS 5/5 · +200 PROJETS LIVRÉS · RÉPONSE EXPRESS

Sources primaires

Un projet en tête ?

Discutons de votre projet et voyons comment nous pouvons vous aider.

Nous contacter