GitHub Actions für deine Organisation Deaktivieren oder Einschränken

Über GitHub Actions-Berechtigungen für deine Organisation

Standardmäßig ist nach Aktivierung von GitHub Actions auf GitHub Enterprise Server in allen Repositorys und in allen Organisationen aktiviert. Du kannst GitHub Actions deaktivieren oder auf Aktionen in deinem Unternehmen beschränken. Weitere Informationen zu GitHub Actions findest du unter Schreiben von Workflows.

Du kannst GitHub Actions für alle Repositories in deiner Organisation aktivieren. Wenn Sie GitHub Actions aktivieren, können Workflows Aktionen in Ihrem Repository und anderen öffentlichen oder internen Repositorys ausführen. Du kannst GitHub Actions für alle Repositorys in deiner Organisation deaktivieren. Wenn Du GitHub Actions deaktivierst, werden keine Workflows in Deinem Repository ausgeführt.

Alternativ kannst du GitHub Actions für alle Repositorys in deiner Organisation aktivieren, aber die Aktionen einschränken, die von einem Workflow ausgeführt werden können.

GitHub Actions-Berechtigungen für deine Organisation verwalten

Du kannst GitHub Actions für alle Repositorys in deiner Organisation deaktivieren oder nur bestimmte Repositorys zulassen. Du kannst auch die Verwendung öffentlicher Aktionen einschränken, sodass Personen nur lokale Aktionen in deinem Unternehmen verwenden können.

1. Wählen Sie in der oberen rechten Ecke von GitHub Ihr Profilfoto aus, und klicken Sie dann auf Ihre Organisationen.

2. Klicke neben der Organisation auf Einstellungen.

3. Klicke in der linken Seitenleiste auf Aktionen und dann auf Allgemein.

4. Wähle unter „Richtlinien“ eine Option aus.

   Wenn du Ausgewählte Aktionen zulassen auswählst, werden Aktionen innerhalb deines Unternehmens zugelassen, und es stehen zusätzliche Optionen zur Verfügung, um andere spezifische Aktionen zuzulassen. Weitere Informationen findest du unter Zulassen der Ausführung ausgewählter Aktionen.

5. Klicke auf Speichern.

Zulassen ausgewählter Aktionen

Wenn du Ausgewählte Aktionen zulassen auswählst, werden lokale Aktionen zugelassen, und du verfügst über zusätzliche Optionen, andere spezifische Aktionen zu erlauben:

• Zulassen von Aktionen, die durch GitHub erstellt wurden: Du kannst alle durch GitHub erstellte Aktionen zum Verwenden durch Workflows erlauben. Aktionen, die durch GitHub erstellt wurden, befinden sich in den Organisationen actions und github. Weitere Informationen findest du in den Organisationen actions und github.

• Marketplace-Aktionen durch überprüfte Ersteller zulassen: Diese Option ist verfügbar, wenn du GitHub Connect aktiviert und mit GitHub Actions konfiguriert hast. Weitere Informationen findest du unter Aktivieren des automatischen Zugriffs auf GitHub.com-Aktionen mit GitHub Connect. Du kannst zulassen, dass alle von verifizierten Erstellern erstellten GitHub Marketplace-Aktionen in Workflows genutzt werden können. Wenn GitHub die Ersteller*innen der Aktion als Partnerorganisation verifiziert hat, wird der Badge neben der Aktion auf dem GitHub Marketplace angezeigt.

• Zulassen angegebener Aktionen: Du kannst Workflows darauf beschränken, Aktionen in spezifischen Organisationen und Repositorys zu verwenden. Angegebene Aktionen können nicht auf mehr als 1000 festgelegt werden.

  Um den Zugriff auf bestimmte Tags oder Commit-SHA-Werte einer Aktion einzuschränken, verwende dieselbe Syntax, die im Workflow genutzt wird, um die Aktion auszuwählen.

  • Für eine Aktion ist die Syntax OWNER/REPOSITORY@TAG-OR-SHA. Verwende beispielsweise actions/javascript-action@v1.0.1 zum Auswählen eines Tags oder actions/javascript-action@a824008085750b8e136effc585c3cd6082bd575f zum Auswählen eines SHA-Werts. Weitere Informationen findest du unter Verwenden von vordefinierten Bausteinen im Workflow.

  Du kannst das Platzhalterzeichen * verwenden, um Muster abzugleichen. Um beispielsweise alle Aktionen in Organisationen zu erlauben, die mit space-org beginnen, kannst du space-org*/* angeben. Um alle Aktionen in Repositorys zu erlauben, die mit „octocat“ beginnen, kannst du */octocat**@* verwenden. Weitere Informationen zur Verwendung des *-Platzhalters findest du unter Workflowsyntax für GitHub Actions.

  Verwende ,, um Muster zu trennen. Beispielsweise kannst du octocat/*, octokit/* angeben, zum octocat und octokit zuzulassen.

In dieser Prozedur wird gezeigt, wie du der Zulassungsliste bestimmte Aktionen hinzufügst.

1. Wählen Sie in der oberen rechten Ecke von GitHub Ihr Profilfoto aus, und klicken Sie dann auf Ihre Organisationen.
2. Klicke neben der Organisation auf Einstellungen.
3. Klicke in der linken Seitenleiste auf Aktionen und dann auf Allgemein.
4. Wähle unter „Richtlinien“ Ausgewählte Aktionen zulassen aus, und füge der Liste deine erforderlichen Aktionen hinzu.
5. Klicken Sie auf Speichern.

Beschränken der Verwendung von selbstgehosteten Runnern

Es gibt keine Garantie, dass selbstgehostete Runner für GitHub Enterprise Server auf kurzlebigen, bereinigten VMs gehostet werden. Infolgedessen können sie durch nicht vertrauenswürdigen Code in einem Workflow kompromittiert werden.

Ebenso können alle Benutzerinnen, die das Repository forken und Pull Requests starten können (üblicherweise Benutzerinnen mit Lesezugriff auf das Repository), die selbstgehostete Runnerumgebung kompromittieren. Dabei kann u. a. auf Geheimnisse und das GITHUB_TOKEN zugegriffen werden, über das abhängig von den Einstellungen Schreibzugriff auf das Repository erlangt werden kann. Wenngleich der Zugriff auf Umgebungsgeheimnisse in Workflows durch die Verwendung von Umgebungen und erforderlichen Prüfungen gesteuert werden kann, werden diese Workflows nicht in einer isolierten Umgebung ausgeführt. Folglich müssen bei Ausführung in einem selbstgehosteten Runner dieselben Risiken berücksichtigt werden.

Aus diesen und anderen Gründen solltest du möglicherweise verhindern, dass Personen selbstgehostete Runner auf Repositoryebene erstellen.

Falls ein Repository bereits über selbstgehostete Runner verfügt, wenn du deren Verwendung deaktivierst, werden diese mit dem Status „Deaktiviert“ aufgeführt, und ihnen werden keine neuen Workflowaufträge zugewiesen.

1. Wählen Sie in der oberen rechten Ecke von GitHub Ihr Profilfoto aus, und klicken Sie dann auf Ihre Organisationen.
2. Klicke neben der Organisation auf Einstellungen.
3. Klicke in der linken Seitenleiste auf Aktionen und dann auf Allgemein.
4. Verwenden das Dropdownmenü unter „Runner“, um deine bevorzugte Einstellung auszuwählen:
   • Alle Repositorys: Selbstgehostete Runner können für jedes Repository in deiner Organisation verwendet werden.
   • Ausgewählte Repositorys: Selbstgehostete Runner können nur für die von dir ausgewählten Repositorys verwendet werden.
   • Deaktiviert: Selbstgehostete Runner können auf Repositoryebene nicht erstellt werden.
5. Wenn du Ausgewählte Repositorys ausgewählt hast:
   1. Wähle aus.
   2. Aktiviere die Kontrollkästchen der Repositorys, für die du selbstgehostete Runner zulassen möchtest.
   3. Wähle Repositorys auswählen aus.

Aktivieren von Workflows für private Repositoryforks

Wenn du für deine privaten Repositorys Forks verwendest, kannst du Richtlinien konfigurieren, die steuern, wie Benutzer Workflows für pull_request-Ereignisse ausführen können. Du kannst diese Richtlinieneinstellungen für dein Unternehmen, Organisationen oder Repositorys konfigurieren. Dies ist jedoch nur für private und interne Repositorys verfügbar.

Wenn eine Richtlinie für ein Unternehmen deaktiviert ist, kann sie für Organisationen nicht aktiviert werden. Wenn eine Richtlinie für eine Organisation deaktiviert ist, kann sie für Repositorys nicht aktiviert werden. Wenn eine Organisation eine Richtlinie aktiviert, kann die Richtlinie für einzelne Repositorys deaktiviert werden.

• Ausführen von Workflows aus Fork-Pull Requests: Ermöglicht Benutzern das Ausführen von Workflows aus Fork-Pull Requests mit einem GITHUB_TOKEN mit ausschließlicher Leseberechtigung und ohne Zugriff auf geheime Schlüssel.
• Senden von Schreibtoken an Workflows aus Pull Requests: Ermöglicht Pull Requests aus Forks die Verwendung eines GITHUB_TOKEN mit Schreibberechtigung.
• Senden von Geheimnissen an Workflows aus Pull Requests: Stellt dem Pull Request alle Geheimnisse zur Verfügung.
• Genehmigung für Fork-Pull Request-Workflows erforderlich: Workflows, die ohne Schreibberechtigung für Pull Requests von Projektmitarbeiter*innen ausgeführt werden, müssen von einer Person mit Schreibberechtigung genehmigt werden, bevor sie ausgeführt werden können.

Konfigurieren der privaten Forkrichtlinie für eine Organisation

1. Wählen Sie in der oberen rechten Ecke von GitHub Ihr Profilfoto aus, und klicken Sie dann auf Ihre Organisationen.
2. Klicke neben der Organisation auf Einstellungen.
3. Klicke in der linken Seitenleiste auf Aktionen und dann auf Allgemein.
4. Wähle unter Pull Request-Workflows forken deine Optionen aus.
5. Klicke auf Speichern, um die Einstellung zu übernehmen.

Festlegen der Berechtigungen von GITHUB_TOKEN für deine Organisation

Du kannst die Standardberechtigungen festlegen, die dem GITHUB_TOKEN erteilt werden. Weitere Informationen zum GITHUB_TOKEN findest du unter Automatische Tokenauthentifizierung. Du kannst eine eingeschränkte Gruppe von Berechtigungen als Standard festlegen oder freizügige Einstellungen vornehmen.

Du kannst die Standardberechtigungen für GITHUB_TOKEN in den Einstellungen für deine Organisation oder deine Repositorys festlegen. Wenn du in den Einstellungen deiner Organisation eine restriktive Option als den Standard festlegst, wird dieselbe Option auch in den Einstellungen für Repositorys innerhalb deiner Organisation ausgewählt, und die freizügige Option wird deaktiviert. Wenn deine Organisation zu einem GitHub Enterprise-Konto gehört und der einschränkendere Standard in den Unternehmenseinstellungen ausgewählt wurde, kannst du in den Organisationseinstellungen nicht die freizügigere Standardeinstellung auswählen.

Jeder mit Schreibzugriff auf ein Repository kann die dem GITHUB_TOKEN erteilten Berechtigungen ändern und Zugriff nach Bedarf hinzufügen oder entfernen, indem er den permissions-Schlüssel in der Workflowdatei bearbeitet. Weitere Informationen findest du unter permissions.

Konfigurieren der GITHUB_TOKEN-Standardberechtigungen

Wenn du eine neue Organisation erstellst, wird die Einstellung standardmäßig von den konfigurierten Unternehmenseinstellungen geerbt.

1. Klicken Sie in der oberen rechten Ecke von GitHub auf Ihr Profilfoto und dann auf Ihr Profil.

   

2. Wählen Sie in der oberen rechten Ecke von GitHub Ihr Profilfoto aus, und klicken Sie dann auf Ihre Organisationen.

3. Klicke neben der Organisation auf Einstellungen.

4. Klicke in der linken Seitenleiste auf Aktionen und dann auf Allgemein.

5. Wähle unter „Workflowberechtigungen“ aus, ob GITHUB_TOKEN über Lese- und Schreibzugriff für alle Berechtigungen (die permissive Einstellung) oder nur über Lesezugriff für die Berechtigungen contents und die Berechtigung packages (die eingeschränkte Einstellung).

6. Klicke auf Save (Speichern), um die Einstellungen zu übernehmen.

Hindern von GitHub Actions am Erstellen oder Genehmigen von Pull Requests

Du kannst zulassen oder verhindern, dass GitHub Actions-Workflows Pull Requests aus erstellen oder entfernen.

Wenn du eine neue Organisation erstellst, dürfen Workflows standardmäßig keine Pull Requests erstellen oder genehmigen.

1. Klicken Sie in der oberen rechten Ecke von GitHub auf Ihr Profilfoto und dann auf Ihr Profil.

   

2. Wählen Sie in der oberen rechten Ecke von GitHub Ihr Profilfoto aus, und klicken Sie dann auf Ihre Organisationen.

3. Klicke neben der Organisation auf Einstellungen.

4. Klicke in der linken Seitenleiste auf Aktionen und dann auf Allgemein.

5. Verwende unter „Workflowberechtigungen“ die Einstellung GitHub Actions dasErstellen und Genehmigen von Pull Requests erlauben, um zu konfigurieren, ob GITHUB_TOKEN Pull Requests erstellen und genehmigen darf.

6. Klicke auf Save (Speichern), um die Einstellungen zu übernehmen.

Verwalten des Cache für GitHub Actions für deine Organisation

Organisationsadministrator*innen können anzeigen und den Cache für GitHub Actions für alle Repositorys in der Organisation verwalten.

Anzeigen des Cache für GitHub Actions nach Repository

Für jedes Repository in deiner Organisation kannst du einsehen, wie viel Cache ein Repository verwendet, wie viele aktive Caches vorhanden sind und ob ein Repository fast die gesamte Cachegröße nutzt. Weitere Informationen zur Cachenutzung und -entfernung findest du unter Abhängigkeiten zwischenspeichern um Workflows zu beschleunigen.

1. Klicken Sie in der oberen rechten Ecke von GitHub auf Ihr Profilfoto und dann auf Ihr Profil.

   

2. Wählen Sie in der oberen rechten Ecke von GitHub Ihr Profilfoto aus, und klicken Sie dann auf Ihre Organisationen.

3. Klicke neben der Organisation auf Einstellungen.

4. Klicke in der linken Randleiste auf Aktionen, und klicke dann auf Caches.

5. Überprüfe die Liste der Repositorys für weitere Informationen zu deinen Caches für GitHub Actions. Du kannst auf einen Repositorynamen klicken, um weitere Details zu den Caches des Repositorys anzuzeigen.

Konfigurieren des Cache für GitHub Actions für deine Organisation

Standardmäßig ist der gesamte Cachespeicher, den GitHub Actions im externen Speicher für GitHub verwendet, auf 10 GB pro Repository beschränkt. Die maximal zulässige Größe, die für ein Repository festgelegt werden kann, beträgt 25 GB.

Du kannst die Größenbeschränkung für Caches für GitHub Actions konfigurieren, die auf jedes Repository in deiner Organisation angewendet wird. Die Cachegrößenbeschränkung für eine Organisation darf den in der Unternehmensrichtlinie festgelegten Grenzwert für die Cachegröße nicht überschreiten. Repositoryadministrator*innen können in ihren Repositorys einen niedrigeren Grenzwert festlegen.

1. Klicken Sie in der oberen rechten Ecke von GitHub auf Ihr Profilfoto und dann auf Ihr Profil.

   

2. Wählen Sie in der oberen rechten Ecke von GitHub Ihr Profilfoto aus, und klicken Sie dann auf Ihre Organisationen.

3. Klicke neben der Organisation auf Einstellungen.

4. Klicke in der linken Seitenleiste auf Aktionen und dann auf Allgemein.

5. Gib unter Größenlimit für Cache einen neuen Wert ein.

6. Klicke auf Speichern, um die Änderungen zu übernehmen.