github-pr

GitHub PR Tool 是一款专注于本地 Pull Request 管理的开发者工具，通过与 GitHub CLI (gh) 深度集成，为开源贡献者和项目维护者提供了一套完整的 PR 预览、获取、合并与测试工作流。

核心用法
该技能提供四个主要命令：使用 preview 可查看 PR 标题、作者、文件变更、CI 状态及最新评论，帮助在合并前全面了解代码变更；fetch 将远程 PR 拉取到本地分支（默认命名 pr/<number>），便于在 IDE 中详细审查；merge 执行合并操作并可选自动安装依赖；test 则提供完整测试周期，自动拉取、合并、安装依赖并运行构建与测试命令。所有命令均支持 --remote 参数自定义远程仓库，默认为 upstream。

显著优点
工具采用防御性编程设计，使用 Python 的 subprocess.run() 以列表形式传参执行 git/gh 命令，彻底避免 shell 注入风险；通过 Typer 框架实现严格的类型检查（PR 号强制为整数）；智能检测本地包管理器（npm/pnpm/yarn/bun），无需手动配置；依赖管理采用 PEP 723 内联元数据锁定版本，确保环境一致性。与标准 Git 工作流无缝衔接，特别适合在合并前验证上游贡献。

潜在缺点与局限性
来源为 T3 级个人开发者账号，非 GitHub 官方或知名组织维护，长期维护稳定性存在不确定性；remote 和 branch 名称未进行严格的格式校验（尽管注入风险已通过列表传参缓解）；功能强依赖 gh CLI 的认证状态，需预先完成 gh auth login；自动安装依赖功能虽可通过 --no-install 禁用，但默认行为可能在非预期情况下修改本地环境。

适合的目标群体
主要面向开源项目维护者、频繁参与上游贡献的开发者，以及需要定期同步 fork 仓库的技术团队。特别适合需要在本地 IDE 中深度审查 PR 代码、运行完整测试套件验证兼容性，或希望将多个上游 PR 合并到私有分支进行集成测试的场景。

使用风险
除常规的 git 操作风险（如合并冲突、分支误操作）外，需警惕执行 test 命令时的依赖安装风险——若 PR 包含恶意依赖或构建脚本，本地执行可能造成安全风险；工具本身虽无静默数据收集，但通过 gh CLI 与 GitHub API 通信，需确保令牌权限适当；建议在隔离环境（如容器或虚拟机）中测试来源不信任的 PR，避免直接在主开发环境运行未知代码。