[WIP] Update GitHub Actions workflow to generate uv.lock

[Copilot]

Thanks for asking me to work on this. I will get started on it and keep this PR's description up to date as I form a plan and make progress.

Original prompt

الملخص:

أحتاج فتح Pull Request في المستودع modelcontextprotocol/quickstart-resources لتعديل ملف GitHub Actions workflow بحيث يفرض توليد ملف القفل المحدد weather-server-python/uv.lock باستخدام pip-compile (pip-tools)، مع تطبيق umask صارم (077) وإزالة أي ACLs موروثة على الملفات الناتجة، ثم دفع التغييرات إلى فرع جديد وفتح PR للمراجعة.

التغييرات المطلوبة بالتفصيل:

1. تعديل الملف الموجود في: .github/workflows/generate-lock.yml

2. السلوك المرغوب في الـ workflow بعد التعديل:

   • تشغيل فقط الأوامر الملائمة لاكتشاف وجود ملف requirements.in وبدء pip-compile لإخراج ملف القفل مباشرة إلى weather-server-python/uv.lock.
   • قبل تشغيل pip-compile، ضبط umask 077 لضمان أن الملفات الجديدة منشأة بأذونات خاصة بالمالك فقط.
   • بعد إنشاء weather-server-python/uv.lock، ضبط أذونات الملف إلى 600 (chmod 600) وإزالة أي ACLs موروثة باستخدام setfacl -k و setfacl -b إن كانت الأداة متوفرة.
   • على Windows runners تعطيل الوراثة عبر icacls /inheritance:r على المسار المقابل.
   • في نهاية الخطوات، إذا حصل تغيير فعلي، الالتزام على فرع جديد (مثلاً ci/generate-lock-${GITHUB_RUN_ID}) ودفعه، ثم (في حالة تشغيل يدوي workflow_dispatch) فتح PR تلقائيًا باستخدام peter-evans/create-pull-request.
   • يحتفظ الوصف في الـ PR بتعليمات للمراجعين بضرورة التحقق من أن uv.lock يحتوي على hashes حقيقية قبل الدمج.

3. سلوك pip-compile محدد صراحة:

   • الأمر المطلوب داخل الـ workflow عند وجود requirements.in هو:
     pip-compile requirements.in --generate-hashes -o weather-server-python/uv.lock

4. متطلبات إضافية:

   • تأكيد تثبيت pip-tools (pip install pip-tools) في خطوة تثبيت الأدوات.
   • المحافظة على الخطوات الأخرى ذات الصلة (checkout, setup-python, تثبيت الأدوات، التحقق من وجود الملفات، عرض مقتطف من uv.lock).
   • الحفاظ على أذونات الكتابة اللازمة (permissions.contents و pull-requests) في تعريف workflow كما في النسخة الحالية.

مخرجات PR المطلوبة:

• فرع جديد: fix/generate-uv-lock-with-pip-compile (أو اسم مشابه)
• عنوان PR: "ci: generate weather-server-python/uv.lock with pip-compile and strict umask"
• رسالة الكوميت: "ci: force pip-compile output to weather-server-python/uv.lock, set umask 077, remove inherited ACLs, and commit changes to a branch"
• وصف PR: بالعربية والإنجليزية يوضح التعديلات، يذكر أن الأذونات ستصبح خاصة بالمالك وأنه يجب على المراجع التحقق من أن الملف يحتوي على hashes فعلية قبل الدمج. كما يجب تضمين أمثلة أوامر محلية لإعادة التوليد (pip-compile requirements.in --generate-hashes -o weather-server-python/uv.lock) وإرشادات لضبط umask محليًا (umask 077).

محتوى الملف المطلوب تحديثه (مقتطف مقترح لـ .github/workflows/generate-lock.yml):

name: Generate lockfile
on:
  workflow_dispatch:
  push:
    branches:
      - main
      - "release/**"
      - "develop"

permissions:
  contents: write
  pull-requests: write

jobs:
  generate-lock:
    name: Generate lockfile with strict umask and disable inheritance
    runs-on: ubuntu-latest
    steps:
      - name: Checkout
        uses: actions/checkout@v4
        with:
          fetch-depth: 0

      - name: Setup Python
        uses: actions/setup-python@v4
        with:
          python-version: "3.11"

      - name: Install tool dependencies (pip-tools)
        run: |
          python -m pip install --upgrade pip
          pip install pip-tools

      - name: Ensure no inherited ACLs on project dir (remove default ACLs if present)
        run: |
          if command -v setfacl >/dev/null 2>&1; then
            setfacl -k ./ || true
            setfacl -b ./ || true
          fi
        shell: bash

      - name: Generate uv.lock with pip-compile and strict umask
        run: |
          umask 077
          if [ -f requirements.in ]; then
            pip-compile requirements.in --generate-hashes -o weather-server-python/uv.lock
          else
            echo "requirements.in not found; skipping pip-compile"
          fi

          if [ -f weather-server-python/uv.lock ]; then
            chmod 600 weather-server-python/uv.lock || true
            if command -v setfacl >/dev/null 2>&1; then
              setfacl -k weather-server-python/uv.lock || true
              setfacl -b weather-server-python/uv.lock || true
            fi
          fi
        shell: bash

      - name: Windows: disable inheritance on uv.lock if present
        if: runner.os == 'Windows'
        run: |
          $file = Join-Path $Env:GITHUB_WORKSPACE 'weather-server-python\uv.lock'
          if (Test-Path $file) {
            icacls $file /inheritance:r
            icacls $file /grant:r "$($env:USERNAME):(R,W)" /c
          }
        shell: pwsh

      - name: Show lockfile summary (for review)
        run: |
          ls -l weather-server-python || true
          if [ -f weather-server-python/uv.lock ]; then
            sed -n '1,120p' weather-server-python/uv.lock || true
          fi
        shell: bash

      - name: Commit and push generated lock (optional)
        run: |
          git config user.name "github-actions[bot]"
          git config user.email "41898282+github-actions[bot]@users.noreply.github.com...

</details>

*This pull request was created as a result of the following prompt from Copilot chat.*
> الملخص:
> 
> أحتاج فتح Pull Request في المستودع modelcontextprotocol/quickstart-resources لتعديل ملف GitHub Actions workflow بحيث يفرض توليد ملف القفل المحدد weather-server-python/uv.lock باستخدام pip-compile (pip-tools)، مع تطبيق umask صارم (077) وإزالة أي ACLs موروثة على الملفات الناتجة، ثم دفع التغييرات إلى فرع جديد وفتح PR للمراجعة.
> 
> التغييرات المطلوبة بالتفصيل:
> 
> 1) تعديل الملف الموجود في: .github/workflows/generate-lock.yml
> 
> 2) السلوك المرغوب في الـ workflow بعد التعديل:
>    - تشغيل فقط الأوامر الملائمة لاكتشاف وجود ملف requirements.in وبدء pip-compile لإخراج ملف القفل مباشرة إلى weather-server-python/uv.lock.
>    - قبل تشغيل pip-compile، ضبط umask 077 لضمان أن الملفات الجديدة منشأة بأذونات خاصة بالمالك فقط.
>    - بعد إنشاء weather-server-python/uv.lock، ضبط أذونات الملف إلى 600 (chmod 600) وإزالة أي ACLs موروثة باستخدام setfacl -k و setfacl -b إن كانت الأداة متوفرة.
>    - على Windows runners تعطيل الوراثة عبر icacls /inheritance:r على المسار المقابل.
>    - في نهاية الخطوات، إذا حصل تغيير فعلي، الالتزام على فرع جديد (مثلاً ci/generate-lock-${GITHUB_RUN_ID}) ودفعه، ثم (في حالة تشغيل يدوي workflow_dispatch) فتح PR تلقائيًا باستخدام peter-evans/create-pull-request.
>    - يحتفظ الوصف في الـ PR بتعليمات للمراجعين بضرورة التحقق من أن uv.lock يحتوي على hashes حقيقية قبل الدمج.
> 
> 3) سلوك pip-compile محدد صراحة:
>    - الأمر المطلوب داخل الـ workflow عند وجود requirements.in هو:
>      pip-compile requirements.in --generate-hashes -o weather-server-python/uv.lock
> 
> 4) متطلبات إضافية:
>    - تأكيد تثبيت pip-tools (pip install pip-tools) في خطوة تثبيت الأدوات.
>    - المحافظة على الخطوات الأخرى ذات الصلة (checkout, setup-python, تثبيت الأدوات، التحقق من وجود الملفات، عرض مقتطف من uv.lock).
>    - الحفاظ على أذونات الكتابة اللازمة (permissions.contents و pull-requests) في تعريف workflow كما في النسخة الحالية.
> 
> مخرجات PR المطلوبة:
> - فرع جديد: fix/generate-uv-lock-with-pip-compile (أو اسم مشابه)
> - عنوان PR: "ci: generate weather-server-python/uv.lock with pip-compile and strict umask"
> - رسالة الكوميت: "ci: force pip-compile output to weather-server-python/uv.lock, set umask 077, remove inherited ACLs, and commit changes to a branch"
> - وصف PR: بالعربية والإنجليزية يوضح التعديلات، يذكر أن الأذونات ستصبح خاصة بالمالك وأنه يجب على المراجع التحقق من أن الملف يحتوي على hashes فعلية قبل الدمج. كما يجب تضمين أمثلة أوامر محلية لإعادة التوليد (pip-compile requirements.in --generate-hashes -o weather-server-python/uv.lock) وإرشادات لضبط umask محليًا (umask 077).
> 
> محتوى الملف المطلوب تحديثه (مقتطف مقترح لـ .github/workflows/generate-lock.yml):
> 
> ```yaml
> name: Generate lockfile
> on:
>   workflow_dispatch:
>   push:
>     branches:
>       - main
>       - "release/**"
>       - "develop"
> 
> permissions:
>   contents: write
>   pull-requests: write
> 
> jobs:
>   generate-lock:
>     name: Generate lockfile with strict umask and disable inheritance
>     runs-on: ubuntu-latest
>     steps:
>       - name: Checkout
>         uses: actions/checkout@v4
>         with:
>           fetch-depth: 0
> 
>       - name: Setup Python
>         uses: actions/setup-python@v4
>         with:
>           python-version: "3.11"
> 
>       - name: Install tool dependencies (pip-tools)
>         run: |
>           python -m pip install --upgrade pip
>           pip install pip-tools
> 
>       - name: Ensure no inherited ACLs on project dir (remove default ACLs if present)
>         run: |
>           if command -v setfacl >/dev/null 2>&1; then
>             setfacl -k ./ || true
>             setfacl -b ./ || true
>           fi
>         shell: bash
> 
>       - name: Generate uv.lock with pip-compile and strict umask
>         run: |
>           umask 077
>           if [ -f requirements.in ]; then
>             pip-compile requirements.in --generate-hashes -o weather-server-python/uv.lock
>           else
>             echo "requirements.in not found; skipping pip-compile"
>           fi
> 
>           if [ -f weather-server-python/uv.lock ]; then
>             chmod 600 weather-server-python/uv.lock || true
>             if command -v setfacl >/dev/null 2>&1; then
>               setfacl -k weather-server-python/uv.lock || true
>               setfacl -b weather-server-python/uv.lock || true
>             fi
>           fi
>         shell: bash
> 
>       - name: Windows: disable inheritance on uv.lock if present
>         if: runner.os == 'Windows'
>         run: |
>           $file = Join-Path $Env:GITHUB_WORKSPACE 'weather-server-python\uv.lock'
>           if (Test-Path $file) {
>             icacls $file /inheritance:r
>             icacls $file /grant:r "$($env:USERNAME):(R,W)" /c
>           }
>         shell: pwsh
> 
>       - name: Show lockfile summary (for review)
>         run: |
>           ls -l weather-server-python || true
>           if [ -f weather-server-python/uv.lock ]; then
>             sed -n '1,120p' weather-server-python/uv.lock || true
>           fi
>         shell: bash
> 
>       - name: Commit and push generated lock (optional)
>         run: |
>           git config user.name "github-actions[bot]"
>           git config user.email "41898282+github-actions[bot]@users.noreply.github.com"
>           git add weather-server-python/uv.lock || true
>           if git diff --staged --quiet; then
>             echo "No changes to commit"
>             exit 0
>           fi
>           branch="ci/generate-lock-${GITHUB_RUN_ID}"
>           git checkout -b "$branch"
>           git commit -m "ci: generate weather-server-python/uv.lock with pip-compile (umask 077, remove ACLs)"
>           git push --set-upstream origin "$branch"
>         env:
>           GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}
>         shell: bash
> 
>       - name: Create Pull Request (if new branch pushed)
>         if: success() && github.event_name == 'workflow_dispatch'
>         uses: peter-evans/create-pull-request@v5
>         with:
>           token: ${{ secrets.GITHUB_TOKEN }}
>           commit-message: "ci: generate weather-server-python/uv.lock with pip-compile (umask 077, remove ACLs)"
>           branch: "ci/generate-lock-${{ github.run_id }}"
>           title: "ci: generate weather-server-python/uv.lock with pip-compile and strict umask"
>           body: |
>             This PR regenerates weather-server-python/uv.lock using pip-compile with --generate-hashes and forces owner-only permissions (umask 077). Remove inherited ACLs where possible. Reviewers: verify that the lockfile contains real hashes before merging.
>           labels: automated, ci
> ```
> 
> ملاحظة أمنية:
> - لا تدمج أي ملف قفل يحتوي على عناصر نائبة للهاش. تأكد من أن ملف weather-server-python/uv.lock يحتوي على sha256 كاملة لكل حزمة.
> 
> الرجاء تنفيذ التغيير الآن: إنشاء فرع fix/generate-uv-lock-with-pip-compile، تعديل الملف .github/workflows/generate-lock.yml بالمحتوى أعلاه، ودفع وفتح PR بعنوان ورسالة الكوميت المشار إليهما.
> 

<!-- START COPILOT CODING AGENT TIPS -->
---

✨ Let Copilot coding agent [set things up for you](https://github.com/modelcontextprotocol/quickstart-resources/issues/new?title=✨+Set+up+Copilot+instructions&body=Configure%20instructions%20for%20this%20repository%20as%20documented%20in%20%5BBest%20practices%20for%20Copilot%20coding%20agent%20in%20your%20repository%5D%28https://gh.io/copilot-coding-agent-tips%29%2E%0A%0A%3COnboard%20this%20repo%3E&assignees=copilot) — coding agent works faster and does higher quality work when set up for your repo.

[jonathanhefner]

@Sawsqr68 GitHub Copilot appears to be unable to fulfill your request due to insufficient permissions, so I will close this PR.

If there are improvements that you would like to see, please open an new PR. And if you do so, please explain the changes as well as the motivation for the changes in English. Thank you! 🙏