Erzwingen von Richtlinien für GitHub Actions in deinem Unternehmen

Informationen zu Richtlinien für GitHub Actions in deinem Unternehmen

GitHub Actions hilft Mitgliedern deines Unternehmens, Softwareentwicklungsworkflows in GitHub Enterprise Cloud zu automatisieren. Weitere Informationen findest du unter Grundlegendes zu GitHub Actions.

Alle Organisationen in GitHub.com können GitHub Actions nutzen. Du kannst Richtlinien erzwingen, um zu kontrollieren, wie Mitglieder deines Unternehmens GitHub Actions auf GitHub Enterprise Cloud verwenden. Standardmäßig können Organisationsbesitzer verwalten, wie Mitglieder GitHub Actions verwenden. Weitere Informationen findest du unter GitHub Actions für deine Organisation Deaktivieren oder Einschränken.

Erzwingen einer Richtlinie zum Einschränken der Verwendung von GitHub Actions in deinem Unternehmen

Du kannst GitHub Actions für alle Organisationen in deinem Unternehmen deaktivieren oder nur für bestimmte Organisationen zulassen. Du kannst auch das Verwenden öffentlicher Aktionen und wiederverwendbarer Workflows einschränken, sodass nur lokale Aktionen und wiederverwendbare Workflows verwendet werden können, die in deinem Unternehmen vorhanden sind.

1. Klicke in der oberen rechten Ecke von GitHub.com auf dein Profilfoto und dann auf Deine Unternehmen.

2. Klicke in der Liste der Unternehmen auf das Unternehmen, das du anzeigen möchtest.

3. Wähle auf der Randleiste des Unternehmenskontos die Option Richtlinien aus.

4. Klicke unter „ Richtlinien“ auf Aktionen.

5. Wähle deine Optionen unter „Richtlinien“ aus.

   Wenn du Enterprise-Workflows zulassen und Workflows ohne Enterprise, Aktionen und wiederverwendbare Workflows auswählen auswählst, werden Aktionen und wiederverwendbare Workflows innerhalb deines Unternehmens zugelassen, und es stehen zusätzliche Optionen zur Verfügung, um andere spezifische Aktionen und wiederverwendbare Workflows zuzulassen. Weitere Informationen findest du unter Zulassen der Ausführung ausgewählter Aktionen und wiederverwendbarer Workflows.

   Wenn du Aktionen und wiederverwendbare Workflows nur in deinem Unternehmen zulässt, blockiert die Richtlinie jeglichen Zugriff auf Aktionen, die von GitHub erstellt wurden. Auf die Aktion actions/checkout könnte also beispielsweise nicht zugegriffen werden.

6. Klicke auf Speichern.

Zulassen ausgewählter Aktionen und das Ausführen wiederverwendbarer Workflows

Wenn du Enterprise-Workflows zulassen und Workflows ohne Enterprise, Aktionen und wiederverwendbare Workflows auswählen auswählst, werden lokale Aktionen und wiederverwendbare Workflows zugelassen, und du verfügst über zusätzliche Optionen, andere spezifische Aktionen und wiederverwendbare Workflows zu erlauben:

• Zulassen von Aktionen, die durch GitHub erstellt wurden: Du kannst alle durch GitHub erstellte Aktionen zum Verwenden durch Workflows erlauben. Aktionen, die durch GitHub erstellt wurden, befinden sich in den Organisationen actions und github. Weitere Informationen findest du in den Organisationen actions und github.

• Marketplace-Aktionen durch überprüfte Ersteller zulassen: Du kannst zulassen, dass alle von verifizierten Erstellern erstellten GitHub Marketplace-Aktionen in Workflows genutzt werden können. Wenn GitHub die Ersteller*innen der Aktion als Partnerorganisation verifiziert hat, wird der Badge neben der Aktion auf dem GitHub Marketplace angezeigt.

• Zulassen angegebener Aktionen und wiederverwendbarer Workflows: Du kannst Workflows darauf beschränken, Aktionen und wiederverwendbare Workflows in spezifischen Organisationen und Repositorys zu verwenden.

  Um den Zugriff auf bestimmte Tags oder Commit-SHA-Werte einer Aktion oder eines wiederverwendbaren Workflows einzuschränken, verwende dieselbe Syntax, die im Workflow genutzt wird, um die Aktion oder den wiederverwendbaren Workflow auszuwählen.

  • Für eine Aktion ist die Syntax <OWNER>/<REPO>@<TAG OR SHA>. Verwende beispielsweise actions/javascript-action@v1.0.1 zum Auswählen eines Tags oder actions/javascript-action@a824008085750b8e136effc585c3cd6082bd575f zum Auswählen eines SHA-Werts. Weitere Informationen findest du unter Suchen und Anpassen von Aktionen.
  • Für einen wiederverwendbaren Workflow ist die Syntax <OWNER>/<REPO>/<PATH>/<FILENAME>@<TAG OR SHA>. Beispiel: octo-org/another-repo/.github/workflows/workflow.yml@v1. Weitere Informationen findest du unter Wiederverwenden von Workflows.

  Du kannst das Platzhalterzeichen * verwenden, um Muster abzugleichen. Um beispielsweise alle Aktionen und wiederverwendbaren Workflows in Organisationen zu erlauben, die mit space-org beginnen, kannst du space-org*/* angeben. Um alle Aktionen und wiederverwendbaren Workflows in Repositorys zu erlauben, die mit „octocat“ beginnen, kannst du */octocat**@* verwenden. Weitere Informationen zur Verwendung des *-Platzhalters findest du unter Workflowsyntax für GitHub Actions.

  Hinweis: Die Option Zulassen angegebener Aktionen und wiederverwendbarer Workflows ist nur in öffentlichen Repositorys mit den Plänen GitHub Free, GitHub Pro, GitHub Free für Organisationen oder dem Plan GitHub Team verfügbar.

In dieser Prozedur wird gezeigt, wie du der Zulassungsliste bestimmte Aktionen und wiederverwendbare Workflows hinzufügst.

1. Klicke in der oberen rechten Ecke von GitHub.com auf dein Profilfoto und dann auf Deine Unternehmen.

2. Klicke in der Liste der Unternehmen auf das Unternehmen, das du anzeigen möchtest.

3. Wähle auf der Randleiste des Unternehmenskontos die Option Richtlinien aus.

4. Klicke unter „ Richtlinien“ auf Aktionen.

5. Wähle unter „Richtlinien“ Enterprise-Workflows zulassen und Workflows ohne Enterprise, Aktionen und wiederverwendbare Workflows auswählen aus, und füge der Liste deine erforderlichen Aktionen und wiederverwendbaren Workflows hinzu.

Erzwingen einer Richtlinie für Artefakt- und Protokollaufbewahrung in deinem Unternehmen

Von GitHub Actions können Artefakte und Protokolldateien gespeichert werden. Weitere Informationen findest du unter Herunterladen von Workflowartefakten.

Standardmäßig werden die von Workflows generierten Artefakte und Protokolldateien 90 Tage lang aufbewahrt und dann automatisch gelöscht. Du kannst den Aufbewahrungszeitraum abhängig von der Art des Repositorys anpassen:

• Öffentliche Repositorys: Der Aufbewahrungszeitraum kann auf einen beliebigen Wert zwischen einem Tag und 90 Tagen festgelegt werden.
• Private und interne Repositorys: Der Aufbewahrungszeitraum kann auf einen beliebigen Wert zwischen einem Tag und 400 Tagen festgelegt werden.

Der angepasste Aufbewahrungszeitraum gilt nur für neue Artefakte und Protokolldateien. Er gilt nicht rückwirkend für bereits vorhandene Objekte. Bei verwalteten Repositorys und Organisationen darf der maximale Aufbewahrungszeitraum den von der verwaltenden Organisation oder vom verwaltenden Unternehmen festgelegten Grenzwert nicht übersteigen.

1. Klicke in der oberen rechten Ecke von GitHub.com auf dein Profilfoto und dann auf Deine Unternehmen.

2. Klicke in der Liste der Unternehmen auf das Unternehmen, das du anzeigen möchtest.

3. Wähle auf der Randleiste des Unternehmenskontos die Option Richtlinien aus.

4. Klicke unter „ Richtlinien“ auf Aktionen.

5. Gib unter Artefakt und Protokollaufbewahrung einen neuen Wert ein.

6. Klicke auf Speichern, um die Änderungen zu übernehmen.

Erzwingen einer Richtlinie für Fork-Pull Requests in deinem Unternehmen

Du kannst Richtlinien erzwingen, um zu bestimmen, wie sich GitHub Actions für GitHub.com verhält, wenn Mitglieder deines Unternehmens oder externe Projektmitarbeiter Workflows aus Forks ausführen.

Erzwingen einer Richtlinie zur Genehmigung von Pull Requests von externen Projektmitarbeitern

Jede Person kann ein öffentliches Repository forken und dann einen Pull Request übermitteln, um Änderungen an den GitHub Actions-Workflows des Repositorys vorzuschlagen. Workflows von Forks haben zwar keinen Zugriff auf vertrauliche Daten wie Geheimnisse, können aber für die Verwalter störend sein, wenn sie zu missbräuchlichen Zwecken geändert werden.

Um dies zu verhindern, werden Workflows in Pull Requests an öffentliche Repositorys von einigen externen Mitwirkenden nicht automatisch ausgeführt, sondern müssen möglicherweise zuerst genehmigt werden. Standardmäßig ist bei allen erstmaligen Mitwirkenden eine Genehmigung zum Ausführen von Workflows erforderlich.

1. Klicke in der oberen rechten Ecke von GitHub.com auf dein Profilfoto und dann auf Deine Unternehmen.

2. Klicke in der Liste der Unternehmen auf das Unternehmen, das du anzeigen möchtest.

3. Wähle auf der Randleiste des Unternehmenskontos die Option Richtlinien aus.

4. Klicke unter „ Richtlinien“ auf Aktionen.

5. Wähle unter Fork-Pull Request-Workflows von externen Mitarbeitern die gewünschte Option aus. Die Optionen werden von der freizügigsten bis zur restriktivsten Option aufgeführt.

6. Klicke auf Save (Speichern), um die Einstellungen zu übernehmen.

Weitere Informationen zum Genehmigen von Workflowausführungen, für die diese Richtlinie gilt, findest du unter Genehmigen von Workflowausführungen über öffentliche Forks.

Erzwingen einer Richtlinie für Fork Pull Requests in privaten Repositorys

Wenn du für deine privaten Repositorys Forks verwendest, kannst du Richtlinien konfigurieren, die steuern, wie Benutzer Workflows für pull_request-Ereignisse ausführen können. Du kannst diese Richtlinieneinstellungen für Unternehmen, Organisationen oder Repositorys konfigurieren. Dies ist jedoch nur für private und interne Repositorys verfügbar.

Wenn eine Richtlinie für ein Unternehmen aktiviert ist, kann die Richtlinie in einzelnen Organisationen oder Repositorys selektiv deaktiviert werden. Wenn eine Richtlinie für ein Unternehmen deaktiviert ist, können einzelne Organisationen oder Repositorys sie nicht aktivieren.

• Ausführen von Workflows aus Fork-Pull Requests: Ermöglicht Benutzern das Ausführen von Workflows aus Fork-Pull Requests mit einem GITHUB_TOKEN mit ausschließlicher Leseberechtigung und ohne Zugriff auf geheime Schlüssel.
• Senden von Schreibtoken an Workflows aus Pull Requests: Ermöglicht Pull Requests aus Forks die Verwendung eines GITHUB_TOKEN mit Schreibberechtigung.
• Senden von Geheimnissen an Workflows aus Pull Requests: Stellt dem Pull Request alle Geheimnisse zur Verfügung.
• Genehmigung für Fork-Pull Request-Workflows erforderlich: Workflows, die ohne Schreibberechtigung für Pull Requests von Projektmitarbeitern ausgeführt werden, müssen von einer Person mit Schreibberechtigung genehmigt werden, bevor sie ausgeführt werden können.

1. Klicke in der oberen rechten Ecke von GitHub.com auf dein Profilfoto und dann auf Deine Unternehmen.

2. Klicke in der Liste der Unternehmen auf das Unternehmen, das du anzeigen möchtest.

3. Wähle auf der Randleiste des Unternehmenskontos die Option Richtlinien aus.

4. Klicke unter „ Richtlinien“ auf Aktionen.

5. Wähle unter Pull Request-Workflows forken deine Optionen aus.

6. Klicke auf Save (Speichern), um die Einstellungen zu übernehmen.

Erzwingen einer Richtlinie für Workflowberechtigungen in deinem Unternehmen

Du kannst die Standardberechtigungen festlegen, die dem GITHUB_TOKEN erteilt werden. Weitere Informationen zum GITHUB_TOKEN findest du unter Automatische Tokenauthentifizierung. Du kannst eine eingeschränkte Gruppe von Berechtigungen als Standard festlegen oder freizügige Einstellungen vornehmen.

Du kannst die Standardberechtigungen für das GITHUB_TOKEN in den Einstellungen für dein Unternehmen, für deine Organisationen oder für deine Repositorys festlegen. Wenn du eine eingeschränkte Option als Standardeinstellung in den Unternehmenseinstellungen auswählst, verhindert dies, dass in den Organisations- oder Repositoryeinstellungen die freizügigere Einstellung ausgewählt wird.

Jeder mit Schreibzugriff auf ein Repository kann die dem GITHUB_TOKEN erteilten Berechtigungen ändern und Zugriff nach Bedarf hinzufügen oder entfernen, indem er den permissions-Schlüssel in der Workflowdatei bearbeitet. Weitere Informationen findest du unter permissions.

Konfigurieren der GITHUB_TOKEN-Standardberechtigungen

Wenn du ein neues Unternehmen erstellst, hat GITHUB_TOKEN standardmäßig nur Lesezugriff für die Bereiche contents und packages.

1. Klicke in der oberen rechten Ecke von GitHub.com auf dein Profilfoto und dann auf Deine Unternehmen.

2. Klicke in der Liste der Unternehmen auf das Unternehmen, das du anzeigen möchtest.

3. Wähle auf der Randleiste des Unternehmenskontos die Option Richtlinien aus.

4. Klicke unter „ Richtlinien“ auf Aktionen.

5. Wähle unter „Workflowberechtigungen“ aus, ob GITHUB_TOKEN über Lese- und Schreibzugriff für alle Bereiche oder nur über Lesezugriff für den Bereich contents und den Bereich packages.

6. Klicke auf Save (Speichern), um die Einstellungen zu übernehmen.

Verhindern, dass GitHub Actions Pullanforderungen erstellen oder genehmigen

Du kannst zulassen oder verhindern, dass GitHub Actions-Workflows Pull Requests aus erstellen oder entfernen.

Wenn du ein neues Unternehmen erstellst, dürfen Workflows standardmäßig keine Pull Requests erstellen oder genehmigen.

1. Klicke in der oberen rechten Ecke von GitHub.com auf dein Profilfoto und dann auf Deine Unternehmen.

2. Klicke in der Liste der Unternehmen auf das Unternehmen, das du anzeigen möchtest.

3. Wähle auf der Randleiste des Unternehmenskontos die Option Richtlinien aus.

4. Klicke unter „ Richtlinien“ auf Aktionen.

5. Verwende unter „Workflowberechtigungen“ die Einstellung GitHub Actions zum Erstellen und Genehmigen von Pullanforderungen berechtigen, um zu konfigurieren, ob GITHUB_TOKEN Pull Requests erstellen und genehmigen kann.

6. Klicke auf Save (Speichern), um die Einstellungen zu übernehmen.