fix(closed): grant pull-requests write to CommentSubPRs job [FTTECH-10130]

[florentsorel]

Problème

Le job Comment rebase --onto on Sub PRs du snippet closed.yml (action after-pr-merged) échoue sur chaque PR mergée, dans tous les repos qui consomment ce snippet (constaté sur panoramai : 100 % des PR mergées en rouge sur le check « Closed PR Housekeeping »).

RequestError [HttpError]: Resource not accessible by integration   (403)
  GET /repos/<org>/<repo>/pulls/<n>
  at sendRebaseOntoCommentOnSubbranches (lib/actions/pullRequestMerged.js:14)

Le job n'a aucun bloc permissions:. Quand la permission par défaut du GITHUB_TOKEN est rabotée au niveau org/repo, le token n'a pas le scope pull-requests, donc le tout premier appel (pulls.get) renvoie 403 avant même d'arriver à pulls.list / issues.createComment.

Impact : CI rouge cosmétique post-merge (ne bloque aucune PR) + le commentaire « 👉 rebase --onto » n'est jamais posté sur les sous-PR empilées.

Fix

On déclare explicitement les scopes minimaux dont l'action a besoin sur ce job :

• pull-requests: write → pulls.get, pulls.list, et création/maj du commentaire sur les sous-PR (les sous-PR sont des PR, donc le scope pull-requests couvre l'endpoint issues/comments).
• contents: read.

Indépendant de la permission par défaut de l'org (un bloc permissions: explicite l'emporte sur le défaut restrictif).

Distribution

sample/workflows/closed.yml est la source canonique référencée par github-mobsuccess-policy (app/policies/gh-actions.js → action closed). Une fois mergé, mobsuccessbot re-sync le snippet wrappé dans tous les repos.

🤖 Generated with Claude Code

[Copilot]

Pull request overview

This PR updates the canonical closed.yml workflow snippet (used by the after-pr-merged action) to explicitly grant the GITHUB_TOKEN the permissions needed by the CommentSubPRs job, preventing 403 Resource not accessible by integration failures in repos with restricted default token permissions.

Changes:

• Add an explicit permissions: block to the CommentSubPRs job in sample/workflows/closed.yml.

---

💡 Add Copilot custom instructions for smarter, more guided reviews. Learn how to get started.