GitHub Actions für deine Organisation Deaktivieren oder Einschränken

Über GitHub Actions-Berechtigungen für deine Organisation

Standardmäßig ist GitHub Actions in allen Repositorys und in allen Organisationen aktiviert. Du kannst GitHub Actions deaktivieren oder auf Aktionen und wiederverwendbare Workflows in deinem Unternehmen beschränken. Weitere Informationen zu GitHub Actions findest du unter Informationen zu GitHub Actions.

Du kannst GitHub Actions für alle Repositories in deiner Organisation aktivieren. Wenn du GitHub Actions aktivierst, können Workflows Aktionen und wiederverwendbare Workflows in deinem Repository und anderen öffentlichen oder internen Repositorys ausführen. Du kannst GitHub Actions für alle Repositorys in deiner Organisation deaktivieren. Wenn Du GitHub Actions deaktivierst, werden keine Workflows in Deinem Repository ausgeführt.

Alternativ kannst du GitHub Actions für alle Repositorys in deiner Organisation aktivieren, aber die Aktionen und wiederverwendbaren Workflows einschränken, die von einem Workflow ausgeführt werden können.

GitHub Actions-Berechtigungen für deine Organisation verwalten

Du kannst GitHub Actions für alle Repositorys in deiner Organisation deaktivieren oder nur bestimmte Repositorys zulassen. Du kannst auch die Verwendung öffentlicher Aktionen und wiederverwendbarer Workflows einschränken, sodass Personen nur lokale Aktionen und wiederverwendbare Workflows in deinem Unternehmen verwenden können.

1. Klicke in der oberen rechten Ecke von GitHub.com auf dein Profilfoto, und klicke dann auf Deine Organisationen.

   2. Klicke neben der Organisation auf Einstellungen.

   1. Wähle auf der linken Randleiste die Option Aktionen und dann Allgemein aus.

2. Wähle unter „Richtlinien“ eine Option aus.

   Wenn du Enterprise-Workflows zulassen und Workflows ohne Enterprise, Aktionen und wiederverwendbare Workflows auswählen auswählst, werden Aktionen und wiederverwendbare Workflows innerhalb deines Unternehmens zugelassen, und es stehen zusätzliche Optionen zur Verfügung, um andere spezifische Aktionen und wiederverwendbare Workflows zuzulassen. Weitere Informationen findest du unter Zulassen der Ausführung ausgewählter Aktionen und wiederverwendbarer Workflows.

   Wenn du Aktionen und wiederverwendbare Workflows nur in deinem Unternehmen zulässt, blockiert die Richtlinie jeglichen Zugriff auf Aktionen, die von GitHub erstellt wurden. Auf die Aktion actions/checkout könnte also beispielsweise nicht zugegriffen werden.

3. Klicke auf Speichern.

Zulassen ausgewählter Aktionen und das Ausführen wiederverwendbarer Workflows

Wenn du Enterprise-Workflows zulassen und Workflows ohne Enterprise, Aktionen und wiederverwendbare Workflows auswählen auswählst, werden lokale Aktionen und wiederverwendbare Workflows zugelassen, und du verfügst über zusätzliche Optionen, andere spezifische Aktionen und wiederverwendbare Workflows zu erlauben:

• Zulassen von Aktionen, die durch GitHub erstellt wurden: Du kannst alle durch GitHub erstellte Aktionen zum Verwenden durch Workflows erlauben. Aktionen, die durch GitHub erstellt wurden, befinden sich in den Organisationen actions und github. Weitere Informationen findest du in den Organisationen actions und github.

• Marketplace-Aktionen durch überprüfte Ersteller zulassen: Du kannst zulassen, dass alle von verifizierten Erstellern erstellten GitHub Marketplace-Aktionen in Workflows genutzt werden können. Wenn GitHub die Ersteller*innen der Aktion als Partnerorganisation verifiziert hat, wird der Badge neben der Aktion auf dem GitHub Marketplace angezeigt.

• Zulassen angegebener Aktionen und wiederverwendbarer Workflows: Du kannst Workflows darauf beschränken, Aktionen und wiederverwendbare Workflows in spezifischen Organisationen und Repositorys zu verwenden.

  Um den Zugriff auf bestimmte Tags oder Commit-SHA-Werte einer Aktion oder eines wiederverwendbaren Workflows einzuschränken, verwende dieselbe Syntax, die im Workflow genutzt wird, um die Aktion oder den wiederverwendbaren Workflow auszuwählen.

  • Für eine Aktion ist die Syntax <OWNER>/<REPO>@<TAG OR SHA>. Verwende beispielsweise actions/javascript-action@v1.0.1 zum Auswählen eines Tags oder actions/javascript-action@a824008085750b8e136effc585c3cd6082bd575f zum Auswählen eines SHA-Werts. Weitere Informationen findest du unter Suchen und Anpassen von Aktionen.
  • Für einen wiederverwendbaren Workflow ist die Syntax <OWNER>/<REPO>/<PATH>/<FILENAME>@<TAG OR SHA>. Beispiel: octo-org/another-repo/.github/workflows/workflow.yml@v1. Weitere Informationen findest du unter Wiederverwenden von Workflows.

  Du kannst das Platzhalterzeichen * verwenden, um Muster abzugleichen. Um beispielsweise alle Aktionen und wiederverwendbaren Workflows in Organisationen zu erlauben, die mit space-org beginnen, kannst du space-org*/* angeben. Um alle Aktionen und wiederverwendbaren Workflows in Repositorys zu erlauben, die mit „octocat“ beginnen, kannst du */octocat**@* verwenden. Weitere Informationen zur Verwendung des *-Platzhalters findest du unter Workflowsyntax für GitHub Actions.

  Hinweis: Die Option Zulassen angegebener Aktionen und wiederverwendbarer Workflows ist nur in öffentlichen Repositorys mit den Plänen GitHub Free, GitHub Pro, GitHub Free für Organisationen oder dem Plan GitHub Team verfügbar.

In dieser Prozedur wird gezeigt, wie du der Zulassungsliste bestimmte Aktionen und wiederverwendbare Workflows hinzufügst.

1. Klicke in der oberen rechten Ecke von GitHub.com auf dein Profilfoto, und klicke dann auf Deine Organisationen.

   2. Klicke neben der Organisation auf Einstellungen.

   1. Wähle auf der linken Randleiste die Option Aktionen und dann Allgemein aus.

2. Wähle unter „Richtlinien“ Enterprise-Workflows zulassen und Workflows ohne Enterprise, Aktionen und wiederverwendbare Workflows auswählen aus, und füge der Liste deine erforderlichen Aktionen und wiederverwendbaren Workflows hinzu.

3. Klicke auf Speichern.

Konfigurieren der erforderlichen Genehmigung für Workflows aus öffentlichen Forks

Jede Person kann ein öffentliches Repository forken und dann einen Pull Request übermitteln, um Änderungen an den GitHub Actions-Workflows des Repositorys vorzuschlagen. Workflows von Forks haben zwar keinen Zugriff auf vertrauliche Daten wie Geheimnisse, können aber für die Verwalter störend sein, wenn sie zu missbräuchlichen Zwecken geändert werden.

Um dies zu verhindern, werden Workflows in Pull Requests an öffentliche Repositorys von einigen externen Mitwirkenden nicht automatisch ausgeführt, sondern müssen möglicherweise zuerst genehmigt werden. Standardmäßig ist bei allen erstmaligen Mitwirkenden eine Genehmigung zum Ausführen von Workflows erforderlich.

Du kannst dieses Verhalten für eine Organisation mithilfe des nachstehenden Verfahrens konfigurieren. Durch Ändern dieser Einstellung wird die auf Unternehmensebene festgelegte Konfiguration außer Kraft gesetzt.

1. Klicke in der oberen rechten Ecke von GitHub.com auf dein Profilfoto, und klicke dann auf Deine Organisationen.

   2. Klicke neben der Organisation auf Einstellungen.

   1. Wähle auf der linken Randleiste die Option Aktionen und dann Allgemein aus. 1. Wähle unter Fork-Pull Request-Workflows von externen Mitarbeitern die gewünschte Option aus. Die Optionen werden von der freizügigsten bis zur restriktivsten Option aufgeführt.

2. Klicke auf Save (Speichern), um die Einstellungen zu übernehmen.

Weitere Informationen zum Genehmigen von Workflowausführungen, für die diese Richtlinie gilt, findest du unter Genehmigen von Workflowausführungen über öffentliche Forks.

Hinzufügen eines erforderlichen Workflows zu einer Organisation

Du kannst erforderliche Workflows so konfigurieren, dass sie in allen oder in ausgewählten Repositorys in einer Organisation ausgeführt werden, die sich in deinem Besitz befinden. Erforderliche Workflows werden durch pull_request und pull_request_target Standardereignisse ausgelöst und müssen übergeben werden, bevor ein Pull Request zusammengeführt werden kann. Weitere Informationen findest du unter Erforderliche Workflows.

Voraussetzungen

Beachte vor dem Konfigurieren eines erforderlichen Workflows die folgenden Voraussetzungen:

• GitHub Actions muss für ein Repository in den Einstellungen der Organisation aktiviert sein, damit die erforderlichen Workflows ausgeführt werden können. Nach der Aktivierung auf Organisationsebene werden die erforderlichen Workflows auch dann ausgeführt, wenn GitHub Actions in den Einstellungen des Repositorys deaktiviert ist. Weitere Informationen zum Verwalten von GitHub Actions in den Repositorys deiner Organisation findest du unterGitHub Actions für deine Organisation Deaktivieren oder Einschränken.
• Erforderliche Workflows sind für Organisationen und nur in Repositorys verfügbar, in denen der Plan der Organisation erforderliche Statusüberprüfungen unterstützt. Wenn erforderliche Statusüberprüfungen nicht unterstützt werden, wird der Workflow weiterhin ausgeführt. Es handelt sich dabei jedoch nicht um eine erforderliche Überprüfung, und das Mergen wird nicht verhindert. Weitere Informationen zur Unterstützung für erforderliche Statusüberprüfungen findest du unter About protected branches.
• Der Standardbranch des Repositorys muss mit der Standardbrancheinstellung der Organisation übereinstimmen, damit erforderliche Workflows als erforderliche Statusüberprüfungen ausgeführt werden können. Wenn die Standardbranchnamen nicht übereinstimmen, wird der Workflow weiterhin ausgeführt, aber es handelt sich nicht um eine erforderliche Überprüfung. Weitere Informationen zum Verwalten von Standardbranchnamen findest du unter Verwalten des Standardbranchnamens für Repositorys in deiner Organisation und Ändern des Standardbranchs.
• Damit erforderliche Workflows ausgeführt werden können, muss sich das Quellrepository des Pull Requests in derselben Organisation wie das Zielrepository befinden. GitHub Enterprise Cloud bezieht den erforderlichen Workflow aus einem angegebenen Branch, Tag oder Commit-SHA aus dem Repository, das den Workflow enthält.
• Geheimnisse, die in einem erforderlichen Workflow verwendet werden, sollten entweder auf Organisationsebene oder in den Zielrepositorys erstellt werden.
• Geheimnisse im Quellrepository werden nicht gefetcht, wenn ein Workflow im Zielrepository ausgeführt wird.
• Wenn ein Workflow als erforderlicher Workflow ausgeführt wird, ignoriert er alle Filter im on:-Abschnitt, z. B. branches, branches-ignore, paths und types. Der erforderliche Workflow wird nur für die Standardereignisse pull_request und pull_request_target ausgeführt. Weitere Informationen zu Standardaktivitätstypen findest du unter Ereignisse zum Auslösen von Workflows.
• Erforderliche Workflows werden nicht automatisch für bereits vorhandene Pull Requests ausgelöst, obwohl sie automatisch als erwartete Überprüfungen angezeigt werden. Um erforderliche Workflows für einen bereits vorhandenen Pull Request auszulösen, pushe eine neue Änderung an diesen Pull Request.

Einschränkungen und Verhaltensweisen für das Quellrepository

Beachte die folgenden Einschränkungen und Verhaltensweisen für das Quellrepository und den Workflow:

• Erforderliche Workflows können in jedem Repositoryordner gespeichert werden und sind nicht wie normale Workflows auf den Ordner .github/workflows beschränkt. Wenn ein erforderlicher Workflow einen wiederverwendbaren Workflow aufruft, muss der wiederverwendbare Workflow im Ordner .github/workflows gespeichert sein. Beim Aufrufen eines wiederverwendbaren Workflows muss ein erforderlicher Workflow den vollständigen Pfad und Verweis für den wiederverwendbaren Workflow verwenden. Beispiel: {owner}/{repo}/.github/workflows/{filename}@{ref}.

• Wenn der erforderliche Workflow sich in einem privaten oder internen Repository befindet, musst du sicherstellen, dass Workflows innerhalb des Repositorys für andere Repositorys in der Organisation zugänglich sind. Weitere Informationen findest du unter Verwalten von GitHub Actions-Einstellungen für ein Repository und Verwalten von GitHub Actions-Einstellungen für ein Repository.

• Workflows, die in einem öffentlichen Repository gespeichert sind, können als erforderliche Workflows für jedes Repository in der Organisation konfiguriert werden. Workflows, die in einem privaten Repository gespeichert sind, können nur für andere private Repositorys in der Organisation als erforderliche Workflows konfiguriert werden. Workflows, die in einem internen Repository gespeichert sind, können für interne und private Repositorys in der Organisation als erforderliche Workflows konfiguriert werden.

• CodeQL wird in erforderlichen Workflows nicht unterstützt, da für CodeQL eine Konfiguration auf Repositoryebene erfolgen muss. Weitere Informationen zum Konfigurieren der Codeüberprüfung findest du unter Konfigurieren der Codeüberprüfung für ein Repository.

• Erstelle zum Pushen an einen Branch, an dem erforderliche Workflows auf Organisationsebene erzwungen werden, einen Pull Request, um die erforderlichen Änderungen vorzunehmen. Du kannst mit erforderlichen Workflowerzwingungen nicht direkt an Branches pushen.

• Wenn du direkte Pushvorgänge für ein bestimmtes Repository zulassen möchtest, musst du das Repository als Ziel aus den entsprechenden erforderlichen Workflows entfernen.

• Auf erforderliche Workflows kann mithilfe einer beliebigen Branch-, Tag- oder Commit-SHA aus dem Repository verwiesen werden, das die Workflowdatei enthält.

Einschränkungen und Verhaltensweisen für das Zielrepository

Beachte die folgenden Einschränkungen und Verhaltensweisen für die Zielrepositorys:

• Wenn du einen erforderlichen Workflow für die Ausführung in allen oder ausgewählten Repositorys konfigurierst, wirkt sich die Sichtbarkeit des Repositorys, das den erforderlichen Workflow enthält, darauf aus, auf welchen Repositorys in deiner Organisation der Workflow ausgeführt wird. Erforderliche Workflows, die in öffentlichen Repositorys gespeichert sind, werden für alle Repositorys ausgeführt. Erforderliche Workflows, die in privaten Repositorys gespeichert sind, werden nur in anderen privaten Repositorys ausgeführt. Erforderliche Workflows, die in internen Repositorys gespeichert sind, werden in internen und privaten Repositorys ausgeführt.
• Erforderliche Workflows können nicht für die Ausführung im Repository konfiguriert werden, in dem der Workflow erstellt wird. Du solltest erwägen, ein separates Repository zu erstellen, um deinen erforderlichen Workflows zu speichern.
• Wenn du einen erforderlichen Workflow für die Ausführung in allen oder ausgewählten Repositorys konfigurierst, werden erforderliche Workflows nicht in Repositorys ausgeführt, in denen Aktionen in den Organisationseinstellungen deaktiviert sind.

Konfigurieren eines erforderlichen Workflows für deine Organisation

1. Klicke in der oberen rechten Ecke von GitHub.com auf dein Profilfoto, und klicke dann auf Deine Organisationen.

   2. Klicke neben der Organisation auf Einstellungen.

   1. Wähle auf der linken Randleiste die Option Aktionen und dann Allgemein aus.

2. Klicke rechts neben „Erforderliche Workflows“ auf Workflow hinzufügen.

3. Wähle im Dropdownmenü unter „Erforderlicher Workflow“ das Repository aus, das den Workflow enthält. Gib dann den Pfad zum Workflow in das Textfeld ein. Du kannst mithilfe der {path}@{ref}-Syntax auf alle Verzweigungs-, Tag- oder Commit-SHA aus dem Repository verweisen, das die Workflowdatei enthält.

4. Gib optional die Verzweigung oder mehrere Verzweigungen in das Textfeld unter „Zielverzweigungen“ ein, um Zielverzweigungen anzugeben, für die der erforderliche Workflow erzwungen werden soll. Wenn du keine Zielverzweigung eingibst, wird der erforderliche Workflow für die Standardverzweigung für das Repository erzwungen.

5. Wähle im Dropdownmenü unter „Auf Repositorys anwenden...“ aus, für welche Repositorys der erforderliche Workflow gilt. Wähle Alle Repositorys aus, um den erforderlichen Workflow auf alle Repositorys in deiner Organisation anzuwenden, oder auf Ausgewählte Repositorys, um auszuwählen, auf welche Repositorys er angewendet werden soll.

6. Wenn du „Ausgewählte Repositorys“ ausgewählt hast, klicke auf , um das modale Dialogfeld zum Auswählen der Repositorys zu öffnen. Wähle dann über die Kontrollkästchen die Repositorys aus, und klicke auf Auswahl anwenden. Mit Filtern kannst du deine Suche eingrenzen.

7. Klicke auf Workflow hinzufügen, um den erforderlichen Workflow hinzuzufügen.

Aktivieren von Workflows für private Repositoryforks

Wenn du für deine privaten Repositorys Forks verwendest, kannst du Richtlinien konfigurieren, die steuern, wie Benutzer Workflows für pull_request-Ereignisse ausführen können. Du kannst diese Richtlinieneinstellungen für Unternehmen, Organisationen oder Repositorys konfigurieren. Dies ist jedoch nur für private und interne Repositorys verfügbar.

Wenn eine Richtlinie für ein Unternehmen deaktiviert ist, kann sie für Organisationen nicht aktiviert werden. Wenn eine Richtlinie für eine Organisation deaktiviert ist, kann sie für Repositorys nicht aktiviert werden. Wenn eine Organisation eine Richtlinie aktiviert, kann die Richtlinie für einzelne Repositorys deaktiviert werden.

• Ausführen von Workflows aus Fork-Pull Requests: Ermöglicht Benutzern das Ausführen von Workflows aus Fork-Pull Requests mit einem GITHUB_TOKEN mit ausschließlicher Leseberechtigung und ohne Zugriff auf geheime Schlüssel.
• Senden von Schreibtoken an Workflows aus Pull Requests: Ermöglicht Pull Requests aus Forks die Verwendung eines GITHUB_TOKEN mit Schreibberechtigung.
• Senden von Geheimnissen an Workflows aus Pull Requests: Stellt dem Pull Request alle Geheimnisse zur Verfügung.
• Genehmigung für Fork-Pull Request-Workflows erforderlich: Workflows, die ohne Schreibberechtigung für Pull Requests von Projektmitarbeitern ausgeführt werden, müssen von einer Person mit Schreibberechtigung genehmigt werden, bevor sie ausgeführt werden können.

Konfigurieren der privaten Forkrichtlinie für eine Organisation

1. Klicke in der oberen rechten Ecke von GitHub.com auf dein Profilfoto, und klicke dann auf Deine Organisationen.

   2. Klicke neben der Organisation auf Einstellungen.

   1. Wähle auf der linken Randleiste die Option Aktionen und dann Allgemein aus. 1. Wähle unter Pull Request-Workflows forken deine Optionen aus.

2. Klicke auf Save (Speichern), um die Einstellungen zu übernehmen.

Festlegen der Berechtigungen von GITHUB_TOKEN für deine Organisation

Du kannst die Standardberechtigungen festlegen, die dem GITHUB_TOKEN erteilt werden. Weitere Informationen zum GITHUB_TOKEN findest du unter Automatische Tokenauthentifizierung. Du kannst eine eingeschränkte Gruppe von Berechtigungen als Standard festlegen oder freizügige Einstellungen vornehmen.

Du kannst die Standardberechtigungen für GITHUB_TOKEN in den Einstellungen für deine Organisation oder deine Repositorys festlegen. Wenn du in den Einstellungen deiner Organisation eine restriktive Option als den Standard festlegst, wird dieselbe Option auch in den Einstellungen für Repositorys innerhalb deiner Organisation ausgewählt, und die freizügige Option wird deaktiviert. Wenn deine Organisation zu einem GitHub Enterprise-Konto gehört und der einschränkendere Standard in den Unternehmenseinstellungen ausgewählt wurde, kannst du in den Organisationseinstellungen nicht die freizügigere Standardeinstellung auswählen.

Jeder mit Schreibzugriff auf ein Repository kann die dem GITHUB_TOKEN erteilten Berechtigungen ändern und Zugriff nach Bedarf hinzufügen oder entfernen, indem er den permissions-Schlüssel in der Workflowdatei bearbeitet. Weitere Informationen findest du unter permissions.

Konfigurieren der GITHUB_TOKEN-Standardberechtigungen

Wenn du eine neue Organisation erstellst, wird die Einstellung standardmäßig von den konfigurierten Unternehmenseinstellungen geerbt.

1. Klicke in der oberen rechten Ecke von GitHub.com auf dein Profilfoto, und klicke dann auf Dein Profil.

   1. Klicke in der oberen rechten Ecke von GitHub.com auf dein Profilfoto, und klicke dann auf Deine Organisationen.

   2. Klicke neben der Organisation auf Einstellungen.

   1. Wähle auf der linken Randleiste die Option Aktionen und dann Allgemein aus.

2. Wähle unter „Workflowberechtigungen“ aus, ob GITHUB_TOKEN über Lese- und Schreibzugriff für alle Bereiche oder nur über Lesezugriff für den Bereich contents und den Bereich packages.

3. Klicke auf Save (Speichern), um die Einstellungen zu übernehmen.

Hindern von GitHub Actions am Erstellen oder Genehmigen von Pull Requests

Du kannst zulassen oder verhindern, dass GitHub Actions-Workflows Pull Requests aus erstellen oder entfernen.

Wenn du eine neue Organisation erstellst, dürfen Workflows standardmäßig keine Pull Requests erstellen oder genehmigen.

1. Klicke in der oberen rechten Ecke von GitHub.com auf dein Profilfoto, und klicke dann auf Dein Profil.

   1. Klicke in der oberen rechten Ecke von GitHub.com auf dein Profilfoto, und klicke dann auf Deine Organisationen.

   2. Klicke neben der Organisation auf Einstellungen.

   1. Wähle auf der linken Randleiste die Option Aktionen und dann Allgemein aus.

2. Verwende unter „Workflowberechtigungen“ die Einstellung GitHub Actions dasErstellen und Genehmigen von Pull Requests erlauben, um zu konfigurieren, ob GITHUB_TOKEN Pull Requests erstellen und genehmigen darf.

3. Klicke auf Save (Speichern), um die Einstellungen zu übernehmen.

Verwalten des Cache für GitHub Actions für deine Organisation

Organisationsadministrator*innen können GitHub Actions für alle Repositorys in der Organisation verwalten.

Anzeigen des Cache für GitHub Actions nach Repository

Für jedes Repository in deiner Organisation kannst du einsehen, wie viel Cache ein Repository verwendet, wie viele aktive Caches vorhanden sind und ob ein Repository fast die gesamte Cachegröße nutzt. Weitere Informationen zur Cachenutzung und -entfernung findest du unter Abhängigkeiten zwischenspeichern um Workflows zu beschleunigen.

1. Klicke in der oberen rechten Ecke von GitHub.com auf dein Profilfoto, und klicke dann auf Dein Profil.

   1. Klicke in der oberen rechten Ecke von GitHub.com auf dein Profilfoto, und klicke dann auf Deine Organisationen.

   2. Klicke neben der Organisation auf Einstellungen.

   

2. Klicke in der linken Randleiste auf Aktionen, und klicke dann auf Caches.

3. Überprüfe die Liste der Repositorys für weitere Informationen zu deinen Caches für GitHub Actions. Du kannst auf einen Repositorynamen klicken, um weitere Details zu den Caches des Repositorys anzuzeigen.