À propos de l’accès automatique aux actions GitHub.com
Par défaut, les workflows GitHub Actions sur GitHub AE ne peuvent pas utiliser directement les actions de GitHub.com ou GitHub Marketplace. Pour mettre toutes les actions de GitHub.com à la disposition de votre instance d’entreprise, vous pouvez utiliser GitHub Connect pour intégrer GitHub AE à GitHub Enterprise Cloud.
Pour utiliser des actions à partir de GitHub.com, vos exécuteurs auto-hébergés doivent être en mesure d’établir des connexions sortantes à GitHub.com. Aucune connexion entrante à partir de GitHub.com n’est obligatoire. Pour plus d’informations, consultez Pour plus d’informations, consultez « À propos des exécuteurs auto-hébergés ».
Sinon, si vous souhaitez un contrôle plus strict sur les actions qui sont autorisées dans votre entreprise, vous pouvez télécharger et synchroniser manuellement les actions sur votre instance d’entreprise à l’aide de l’outil actions-sync
. Pour plus d’informations, consultez « Synchronisation manuelle des actions à partir de GitHub.com ».
À propos de la résolution des actions à l’aide de GitHub Connect
Lorsqu’un workflow utilise une action en référençant le dépôt où l’action est stockée, GitHub Actions tente d’abord de trouver le dépôt sur votre entreprise. Si le dépôt n’existe pas sur votre entreprise, et si vous avez activé l’accès automatique à GitHub.com, GitHub Actions tente de trouver le dépôt sur GitHub.com.
Si un utilisateur a déjà créé une organisation et un dépôt dans votre entreprise de même nom que ceux d’une organisation et d’un dépôt sur GitHub.com, le dépôt de votre entreprise sera utilisé à la place de celui de GitHub.com. Un utilisateur malveillant pourrait tirer parti de ce comportement pour exécuter du code dans le cadre d’un workflow.
Activation de l’accès automatique à toutes les actions GitHub.com
Avant d’activer l’accès à toutes les actions de GitHub.com pour votre entreprise, vous devez activer GitHub Connect. Pour plus d’informations, consultez « Gestion de GitHub Connect ».
-
Dans le coin supérieur droit de GitHub AE, cliquez sur votre photo de profil, puis sur Paramètres d’entreprise.
-
Dans la barre latérale du compte d’entreprise, cliquez sur GitHub Connect .
-
Sous « Les utilisateurs peuvent utiliser les actions de GitHub.com dans les exécutions de workflows », utilisez le menu déroulant et sélectionnez Activé.
-
Après avoir activé GitHub Connect, vous pouvez utiliser des stratégies pour restreindre les actions publiques utilisables dans les dépôts de votre entreprise. Pour plus d’informations, consultez « Application de stratégies pour GitHub Actions dans votre entreprise ».
Mise hors service automatique des espaces de noms pour les actions accessibles sur GitHub.com
Quand vous activez GitHub Connect, les utilisateurs ne voient aucun changement de comportement pour les workflows existants, car GitHub Actions recherche chaque action dans votre entreprise avant de s’en remettre à GitHub.com. Ainsi, les versions personnalisées des actions que votre entreprise a créées sont utilisées en priorité par rapport à leurs équivalents sur GitHub.com.
La mise hors service automatique des espaces de noms pour les actions accessibles sur GitHub.com empêche toute attaque de l’intercepteur de la part d’un utilisateur malveillant ayant accès à votre entreprise. Quand une action sur GitHub.com est utilisée pour la première fois, cet espace de noms est mis hors service dans votre entreprise. Cela empêche un utilisateur de créer une organisation et un dépôt dans votre entreprise de même nom que ceux de l’organisation et du dépôt sur GitHub.com. Cela garantit que lorsqu’un workflow s’exécute, l’action prévue est toujours exécutée.
Après avoir utilisé une action de GitHub.com, si vous souhaitez créer une action dans votre entreprise avec le même nom, vous devez d’abord rendre l’espace de noms de cette organisation et de ce dépôt disponible.
-
À partir d’un compte d’administration sur GitHub AE, cliquez sur en haut à droite de n’importe quelle page.
-
Si vous ne figurez pas déjà sur la page « Administrateur du site », dans le coin supérieur gauche, cliquez sur Administrateur du site.
-
Dans la barre latérale de gauche, sous Administrateur de site, cliquez sur Espaces de noms mis hors service.
-
À droite de l’espace de noms que vous souhaitez utiliser dans votre entreprise, cliquez sur Annuler la mise hors service.
-
Accédez à l’organisation appropriée et créez un dépôt.
Conseil : Quand vous annulez la mise hors service d’un espace de noms, créez toujours le nouveau dépôt avec ce nom le plus vite possible. Si un workflow appelle l’action associée à l’action de GitHub.com avant de créer le dépôt local, l’espace de noms sera de nouveau mis hors service. Pour les actions utilisées dans des workflows fréquemment exécutés, il peut arriver qu’un espace de noms se retrouve à nouveau hors service avant même que le dépôt local ait pu être créé. Si cela vous arrive, vous pouvez désactiver temporairement les workflows en question, le temps de créer le nouveau dépôt.