También necesitamos resolver este problema para los parches de seguridad no públicos.
Tenemos código en nuestras herramientas internas que se fusiona en una rama de un repositorio; recomendaría el mismo enfoque para usted.
Algo como esto debería funcionar para usted en un bloque exec (probablemente en el hook after_code):
# obtener y fusionar el parche
git merge REFERENCE --no-commit
bundle install # si es necesario
pnpm install --frozen-lockfile # si es necesario