組織内のリポジトリのルールセットを作成する

はじめに

組織にルールセットを作成して、ユーザーが組織内のリポジトリを操作する方法を制御できます。 どのユーザーが特定のブランチにコミットをプッシュできるか、コミットをどのようにフォーマットする必要があるか、どのユーザーがタグを削除または名前変更できるかといったことを制御できます。 また、ユーザーがリポジトリの名前を変更できないようにすることもできます。

また、プライベートまたは内部リポジトリ、およびリポジトリのフォーク ネットワーク全体へのプッシュをブロックするように、プッシュ ルールセットを作成することもできます。 プッシュ ルールセットを使用すると、ファイル拡張子、ファイル パスの長さ、ファイルとフォルダーのパス、およびファイル サイズに基づいてプッシュをブロックできます。

フォークは、アップストリーム リポジトリからブランチまたはタグのルールセットを継承しません。 ただし、組織が所有するフォークは、他のリポジトリと同様に、作成するルールセットの対象となります。

フォークは__、ルート リポジトリからプッシュ ルールセットを継承します。 プッシュ ルールは、リポジトリのフォーク ネットワーク全体に適用され、リポジトリへのすべてのエントリ ポイントが確実に保護されます。 たとえば、プッシュルールセットが有効になっているリポジトリをフォークした場合、フォークされたリポジトリにも同じプッシュルールセットが適用されます。

フォークされたリポジトリの場合、プッシュ ルールのバイパス アクセス許可を持つユーザーは、ルート リポジトリのバイパス アクセス許可を持つユーザーだけです。

事前構築済みのルールセットのインポート

GitHub によって事前構築済みのルールセットの 1 つをインポートするには、「github/ruleset-recipes」を参照してください 。

JSON ファイルを使って既存のルールセットをインポートできます。 これは、複数のリポジトリまたは組織に同じルールセットを適用する場合に便利です。詳細については、「組織内のリポジトリのルールセットを管理する」を参照してください。

fnmatch 構文の使用

fnmatch 構文を使用 して、ルールセットの作成時にターゲットとするパターンを定義できます。

* ワイルドカードを使って、任意の文字列に一致させることができます。 GitHub では File::FNM_PATHNAME フラグを File.fnmatch 構文で使うため、* のワイルドカードがディレクトリの区切り記号 (/) と照合されません。 たとえば、qa/* は、qa/ で始まり、1 つのスラッシュを含むすべてのブランチと照合されますが、qa/foo/bar とは照合されません。 qa の後には、qa/**/* を使用して任意の数のスラッシュを含めることができます。これは、たとえば qa/foo/bar/foobar/hello-world と一致します。 qa**/**/* を使い qa の文字列を拡張して、より包括的にすることもできます。

構文のオプションについて詳しくは、fnmatch のドキュメントを参照してください。

コミット メタデータに正規表現を使用する

ブランチまたはタグをターゲットとするルールセットにメタデータ制限を追加するときは、正規表現構文を使って、コミット メッセージ、ブランチ名またはタグ名などの関連するメタデータが一致する必要がある、または一致してはならないパターンを定義できます。

既定では、メタデータの制限は正規表現パターンを受け入れません。 これを有効にするには、ルールセットのメタデータ制限を作成するときに、[特定の正規表現パターンに一致する必要がある] を選択します。

ルールセットでは、RE2 構文がサポートされています。 詳しくは、Google の構文ガイドに関するページをご覧ください。 式を検証するには、regex101.com の検証コントロールを使い、左側のサイドバーで "Golang" フレーバーを選択できます。

既定では、メタデータ制限の正規表現では、複数行のテキストは考慮されません。 たとえば、複数行のコミット メッセージがある場合、パターン ^ABC は、メッセージの最初の行が ABC で始まっていれば一致します。 複数行のメッセージと一致させるには、表現を (?m) で開始します。

?! で示される負の先読みアサーションはサポートされていません。 ただし、特定の文字列の後に別の特定の文字列が続いていないケースを検索する必要がある場合は、? で示される正の先読みアサーションを、"特定の正規表現パターンと一致してはならない" という要件と組み合わせて使用できます。

便利な正規表現パターン

次の例では、コミット メタデータに役立つパターンを示します。 これらのパターンを使用するには、 [要件] を [特定の正規表現パターンに一致する必要がある] に設定します。

ブランチ名が Windows と互換性があることを確認する

次のパターンを使って、ブランチ名に数字、小文字、文字 - と _ のみが含まれることを確認できます。 これにより、ブランチ名が、既定で大文字と小文字を区別するファイル システムを使用しないオペレーティング システムと互換性があることが確認されます。

\A[0-9a-z-_]$

\A[0-9a-z-_]$

一致する: my-branch

一致しない: myBranch

タグ名でセマンティック バージョン管理が使用されていることを確認する

次のパターンを使って、タグ名がセマンティック バージョン管理に準拠していることを確認できます。 詳しくは、semver.org のドキュメントをご覧ください。

^(0|[1-9]\d*)\.(0|[1-9]\d*)\.(0|[1-9]\d*)(?:-((?:0|[1-9]\d*|\d*[a-zA-Z-][0-9a-zA-Z-]*)(?:\.(?:0|[1-9]\d*|\d*[a-zA-Z-][0-9a-zA-Z-]*))*))?(?:\+([0-9a-zA-Z-]+(?:\.[0-9a-zA-Z-]+)*))?$

^(0|[1-9]\d*)\.(0|[1-9]\d*)\.(0|[1-9]\d*)(?:-((?:0|[1-9]\d*|\d*[a-zA-Z-][0-9a-zA-Z-]*)(?:\.(?:0|[1-9]\d*|\d*[a-zA-Z-][0-9a-zA-Z-]*))*))?(?:\+([0-9a-zA-Z-]+(?:\.[0-9a-zA-Z-]+)*))?$

一致する: 1.2.3、10.20.30、1.1.2-prerelease+meta

一致しない: 1.2、1.2-SNAPSHOT

コミット メッセージの行の長さを制限する

Pro Git の書籍では、コミット メッセージの最初の行を約 50 文字に制限することが推奨されています。

次のパターンを使って、コミット メッセージの最初の行が 50 文字以下であることを確認できます。

\A.{1,50}$

\A.{1,50}$

コミット メッセージが解決と issue 番号で始まっていることを確認する

次のパターンを使って、コミット メッセージに Resolves: または Fixes: という単語と、それに続く #1234 のような文字列が含まれていることを確認できます。

^(Resolves|Fixes): \#[0-9]+$

^(Resolves|Fixes): \#[0-9]+$

一致する: Fixes: #1234

一致しない: Add conditional logic to foo.bar

従来のコミットを適用する

次のパターンを使って、コミット メッセージが従来のコミット仕様に準拠していることを確認できます。 詳しくは、conventionalcommits.org をご覧ください。

^(build|chore|ci|docs|feat|fix|perf|refactor|revert|style|test){1}(\([\w\-\.]+\))?(!)?: ([\w ])+([\s\S]*)

^(build|chore|ci|docs|feat|fix|perf|refactor|revert|style|test){1}(\([\w\-\.]+\))?(!)?: ([\w ])+([\s\S]*)

一致する: feat: allow provided config object to extend other configs

一致しない: Add conditional logic to foo.bar

ルールセットの適用ステータスの使用

ルールセットの作成または編集中に、適用ステータスを使用してルールセットの適用方法を構成できます。

ルールセットには、次の適用ステータスのいずれかを選択できます。

• アクティブ: ルールセットは作成時に適用されます。
• 評価: ルールセットは適用されませんが、[Rule Insights] ページでルールに違反するアクションと違反しないアクションを監視できます。
• 無効: ルールセットは、適用または評価されません。

「評価」モードを使用することは、ルールセットを適用せずにテストするための優れたオプションです。 「ルールの分析情報」ページを使用して、そのコントリビューションがルールに違反したかどうかを確認できます。 詳しくは、「リポジトリのルールセットの管理」をご覧ください。

分岐またはタグルールセットの作成

1. GitHub の右上隅でプロフィール写真を選んでから、 [Your organizations] をクリックします。

2. 組織の隣の [設定] をクリックします。

3. 左のサイド バーの [コード、計画、自動化] セクションで、[ リポジトリ] をクリックし、[ルールセット] をクリックします。

   

4. 「新しいルールセット」をクリックします。

5. ブランチを対象とするルールセットを作成するには、 [新しいブランチ ルールセット] をクリックします。 または、タグを対象とするルールセットを作成するには、[新しいタグ ルールセット] をクリックします。

6. [ルールセット名] に、ルールセットの名前を入力します。

7. 必要に応じて、既定の適用ステータスを変更するには、 [無効] をクリックし、新しい適用ステータスを選択します。 適用ステータスの詳細については、「ルールセットについて」を参照してください。

ブランチまたはタグのルールセットに対するバイパス アクセス許可の付与

ルールセットに対し、特定のロール、チーム、またはアプリのバイパス アクセス許可を付与でき、バイパス要求を承認する機能も付与できます。 バイパス アクセスの対象になるものを次に示します。

• リポジトリ管理者、organization 所有者、Enterprise 所有者
• 保守ロール、書き込みロール、または書き込みロールに基づくカスタム リポジトリ ロール
• チーム
• GitHub Apps
• Dependabot。 Dependabot の詳細については、「Dependabot クイックスタート ガイド」を参照してください。

1. ルールセットのバイパスのアクセス許可を付与するには、[バイパス リスト] セクションで [バイパスの追加] をクリックします。

2. 表示される [バイパスの追加] モーダル ダイアログで、バイパスアクセス許可を付与するロール、チーム、またはアプリを検索し、[提案] セクションからロール、チーム、またはアプリを選択し、[選択項目の追加] をクリックします。

3. 必要に応じて、リポジトリに直接プッシュすることを許可せずにアクターにバイパスを許可するには、[常に許可] の右側にある をクリックし、次に [pull request のみ] をクリックします。

   選択したアクターは、リポジトリに変更を加えるために pull request を開いて、pull request と監査ログに変更の明確な証跡を作成する必要があります。 アクターは、ブランチの保護をバイパスして、その pull request をマージすることを選択できます。

組織内でターゲットにするリポジトリの選択

ルールセットを使うと、organization 内のすべてのリポジトリ、特定の名前付け規則と一致する organization 内のリポジトリ、カスタム プロパティを持つ organization 内のリポジトリ、または organization 内の手動で選んだリポジトリ一覧をターゲットすることを選択できます。

カスタム プロパティについて詳しくは、「組織内リポジトリのカスタム プロパティの管理」をご覧ください。

リポジトリが組織レベルで作成されたルールセットのターゲットになっている場合は、組織のオーナーのみがそのルールセットを編集できます。 ただし、リポジトリへの管理者アクセス権を持つユーザー、または "リポジトリ ルールの編集" アクセス許可を含むカスタム ロールを持つユーザーは、リポジトリ レベルで追加のルールセットを作成できます。 これらのルールセット内のルールは、組織レベルで定義されたルールと集約されます。 その結果、新しいルールセットを作成すると、ブランチまたはタグを対象とするルールは、より制限が厳しくなりますが、制限が緩くなることはありません。 ルールセットの作成について詳しくは、「ルールセットについて」をご覧ください。

組織内のすべてのリポジトリをターゲットにする

組織内のすべてのリポジトリをターゲットにするには、[ターゲット リポジトリ] セクションで [ターゲット: REPOSITORIES] を選択し、[すべてのリポジトリ] をクリックします。

組織内の名前付け規則によるリポジトリのターゲット設定

1. 名前付け規則による、組織内のリポジトリの動的リストをターゲットにするには、[ターゲット リポジトリ] セクションで [ターゲット: REPOSITORIES] を選択し、[リポジトリの動的リスト] をクリックします。

2. ターゲット パターンの定義を開始するには、[ターゲット条件] セクションで、[ターゲットの追加] を選択し、[パターンで追加] または [パターンで除外] をクリックします。

3. 表示されるモーダル ダイアログで、fnmatch 構文を使ってリポジトリの名前付けパターンを入力し、 [包含パターンの追加] または [除外パターンの追加] をクリックします。 fnmatch の構文について詳しくは、「fnmatch 構文の使用」をご覧ください。

   メモ

   複数のターゲット条件を同じルールセットに追加できます。 たとえば、パターン *cat* に一致するリポジトリを含め、さらにパターン not-a-cat に一致するリポジトリを明示的に除外できます。

4. 必要に応じて、ルールセットの構成ページで [ターゲット リポジトリの名前変更を禁止する] を選びます。

プロパティに基づいて組織内のリポジトリをターゲットにする

カスタム プロパティに基づいて、組織内のリポジトリをターゲットにすることができます。 詳しくは、「組織内リポジトリのカスタム プロパティの管理」をご覧ください。

1. プロパティに基づいて組織内のリポジトリの動的リストをターゲットにするには、[ターゲット リポジトリ] セクションで [ターゲット: REPOSITORIES] を選択し、[プロパティに基づく動的リスト] をクリックします。
2. ターゲットを追加するには、[ターゲットにする条件] セクションで、[ターゲットの追加] を選択し、[プロパティに基づいて包含] または [プロパティに基づいて除外] をクリックします。
3. 表示されるモーダル ダイアログで、ドロップダウン メニューからカスタム プロパティまたはシステム プロパティを選択し、プロパティの値を選択します。
4. [ターゲットの追加] をクリックします。

組織内のリポジトリを選択してターゲットにする

1. 組織内の静的で手動で選択されたリポジトリの一覧をターゲットにするには、[ターゲット リポジトリ] セクションで [ターゲット: REPOSITORIES] を選択し、[リポジトリの選択] をクリックします。
2. 選んだリポジトリの静的一覧をターゲットにするには、[ターゲット条件] セクションで [リポジトリの選択] を選択し、ターゲットにする各リポジトリを検索します。 検索結果から各リポジトリを選びます。

ターゲットにするブランチまたはタグの選択

ブランチまたはタグをターゲットにするには、[ターゲット ブランチ] または [ターゲット タグ] セクションで、[ターゲットの追加] を選び、ブランチまたはタグを含めるまたは除外する方法を選びます。 fnmatch 構文を使って、パターンに基づいてブランチまたはタグを含めたり除外したりできます。 詳細については、「fnmatch 構文の使用」を参照してください。

複数のターゲット条件を同じルールセットに追加できます。 たとえば、既定のブランチを含め、*feature* のパターンに一致するブランチを含めてから、not-a-feature のパターンに一致する特定のブランチを除外することができます。

ブランチまたはタグの保護の選択

[ブランチ保護] または [タグ保護] セクションで、ルールセットに含めるルールを選びます。 ルールを選ぶと、そのルールに追加設定を入力できる場合があります。 ルールの詳細については、「ルールセットで使用できるルール」を参照してください。

メタデータの制限追加

メタデータの制限は、リポジトリでのコミット間の整合性の向上を目的とする必要があります。 pull request でのコード レビュー必須化などのセキュリティ対策を置き換えることを意図したものではありません。

1. コミット メタデータまたはブランチ名を制御するルールを追加するには、ルールセットを作成または編集するときに [Restrictions] セクションで、[Restrict commit metadata] または [Restrict branch names] をクリックします。

2. 制限の設定を構成して、[追加] をクリックします。 同じルールセットに複数の制限を追加できます。

3. 特定の正規表現パターンと一致させるには、[要件] ドロップダウンで [特定の正規表現パターンに一致する必要がある] を選択します。

   [一致するパターンで開始する必要がある] など、ほとんどの要件では、入力したパターンはリテラルに解釈され、ワイルドカードはサポートされません。 たとえば、* 文字が表すのは、リテラルな * 文字のみです。

   より複雑なパターンの場合は、[特定の正規表現パターンに一致する必要がある] または [特定の正規表現パターンに一致しない] を選び、正規表現構文を使って、一致するパターンを定義できます。 詳細については、「メタデータのコミットに正規表現を使う」を参照してください。

   リポジトリのルールセットを表示しているすべてのユーザーは、指定した説明を表示できます。

4. 必要に応じて、メタデータ制限を含むルールセットを適用する前に、ルールセットに対して "評価" の適用状態を選択し、共同作成者に影響を与えることなくメタデータ制限の効果をテストします。 メタデータの制限の詳細については、「ルールセットで使用できるルール」を参照してください。

ブランチまたはタグのルール セットの最終処理と次の手順

ルールセットの作成を完了するには、[作成] をクリックします。 ルールセットの適用ステータスが "アクティブ" に設定されている場合、ルールセットはすぐに有効になります。

ルールセットの分析情報を表示して、ルールが共同作成者にどのように影響しているかを確認できます。 適用ステータスが "評価" に設定されている場合、ルール セットがアクティブであった場合に合格または失敗したアクションを確認できます。 ルールセットの分析情報の詳細については、「リポジトリのルールセットの管理」を参照してください。

プッシュ ルールセットの作成

Organization 内のプライベート リポジトリまたは内部リポジトリのプッシュ ルールセットを作成できます。

1. GitHub の右上隅でプロフィール写真を選んでから、 [Your organizations] をクリックします。

2. 組織の隣の [設定] をクリックします。

3. 左のサイド バーの [コード、計画、自動化] セクションで、[ リポジトリ] をクリックし、[ルールセット] をクリックします。

   

4. 「新しいルールセット」をクリックします。

5. ブランチを対象とするルールセットを作成するには、 [新しいプッシュ ルールセット] をクリックします。

6. [ルールセット名] に、ルールセットの名前を入力します。

7. 必要に応じて、既定の適用ステータスを変更するには、 [無効] をクリックし、新しい適用ステータスを選択します。 適用ステータスの詳細については、「ルールセットについて」を参照してください。

プッシュ ルールセットに対するバイパス アクセス許可の付与

ルールセットに対し、特定のロール、チーム、またはアプリのバイパス アクセス許可を付与でき、バイパス要求を承認する機能も付与できます。 バイパス アクセスの対象になるものを次に示します。

• リポジトリ管理者、organization 所有者、Enterprise 所有者
• 保守ロール、書き込みロール、または書き込みロールに基づくカスタム リポジトリ ロール
• チーム
• GitHub Apps
• Dependabot。 Dependabot の詳細については、「Dependabot クイックスタート ガイド」を参照してください。

1. ルールセットのバイパスのアクセス許可を付与するには、[バイパス リスト] セクションで [バイパスの追加] をクリックします。
2. 表示される [バイパスの追加] モーダル ダイアログで、バイパスアクセス許可を付与するロール、チーム、またはアプリを検索し、[提案] セクションからロール、チーム、またはアプリを選択し、[選択項目の追加] をクリックします。

組織内でターゲットにするリポジトリの選択

ルールセットを使うと、organization 内のすべてのリポジトリ、特定の名前付け規則と一致する organization 内のリポジトリ、カスタム プロパティを持つ organization 内のリポジトリ、または organization 内の手動で選んだリポジトリ一覧をターゲットすることを選択できます。

カスタム プロパティについて詳しくは、「組織内リポジトリのカスタム プロパティの管理」をご覧ください。

リポジトリが組織レベルで作成されたルールセットのターゲットになっている場合は、組織のオーナーのみがそのルールセットを編集できます。 ただし、リポジトリへの管理者アクセス権を持つユーザー、または "リポジトリ ルールの編集" アクセス許可を含むカスタム ロールを持つユーザーは、リポジトリ レベルで追加のルールセットを作成できます。 これらのルールセット内のルールは、組織レベルで定義されたルールと集約されます。 その結果、新しいルールセットを作成すると、ブランチまたはタグを対象とするルールは、より制限が厳しくなりますが、制限が緩くなることはありません。 ルールセットの作成について詳しくは、「ルールセットについて」をご覧ください。

組織内のすべてのリポジトリをターゲットにする

組織内のすべてのリポジトリをターゲットにするには、[ターゲット リポジトリ] セクションで [ターゲット: REPOSITORIES] を選択し、[すべてのリポジトリ] をクリックします。

組織内の名前付け規則によるリポジトリのターゲット設定

1. 名前付け規則による、組織内のリポジトリの動的リストをターゲットにするには、[ターゲット リポジトリ] セクションで [ターゲット: REPOSITORIES] を選択し、[リポジトリの動的リスト] をクリックします。

2. ターゲット パターンの定義を開始するには、[ターゲット条件] セクションで、[ターゲットの追加] を選択し、[パターンで追加] または [パターンで除外] をクリックします。

3. 表示されるモーダル ダイアログで、fnmatch 構文を使ってリポジトリの名前付けパターンを入力し、 [包含パターンの追加] または [除外パターンの追加] をクリックします。 fnmatch の構文について詳しくは、「fnmatch 構文の使用」をご覧ください。

   メモ

   複数のターゲット条件を同じルールセットに追加できます。 たとえば、パターン *cat* に一致するリポジトリを含め、さらにパターン not-a-cat に一致するリポジトリを明示的に除外できます。

4. 必要に応じて、ルールセットの構成ページで [ターゲット リポジトリの名前変更を禁止する] を選びます。

プロパティに基づいて組織内のリポジトリをターゲットにする

カスタム プロパティに基づいて、組織内のリポジトリをターゲットにすることができます。 詳しくは、「組織内リポジトリのカスタム プロパティの管理」をご覧ください。

1. プロパティに基づいて組織内のリポジトリの動的リストをターゲットにするには、[ターゲット リポジトリ] セクションで [ターゲット: REPOSITORIES] を選択し、[プロパティに基づく動的リスト] をクリックします。
2. ターゲットを追加するには、[ターゲットにする条件] セクションで、[ターゲットの追加] を選択し、[プロパティに基づいて包含] または [プロパティに基づいて除外] をクリックします。
3. 表示されるモーダル ダイアログで、ドロップダウン メニューからカスタム プロパティまたはシステム プロパティを選択し、プロパティの値を選択します。
4. [ターゲットの追加] をクリックします。

組織内のリポジトリを選択してターゲットにする

1. 組織内の静的で手動で選択されたリポジトリの一覧をターゲットにするには、[ターゲット リポジトリ] セクションで [ターゲット: REPOSITORIES] を選択し、[リポジトリの選択] をクリックします。
2. 選んだリポジトリの静的一覧をターゲットにするには、[ターゲット条件] セクションで [リポジトリの選択] を選択し、ターゲットにする各リポジトリを検索します。 検索結果から各リポジトリを選びます。

プッシュ保護の選択

ファイル拡張子、ファイル パスの長さ、ファイルとフォルダーのパス、ファイル サイズに基づいて、このリポジトリとこのリポジトリのフォーク ネットワーク全体へのプッシュをブロックできます。

構成したプッシュ保護によって、このリポジトリ内およびこのリポジトリのフォーク ネットワーク全体のプッシュがブロックされます。

1. [プッシュ保護] で、適用する制限をクリックします。 次に、選択した制限の詳細を入力します。

   ファイル パスの制限については、部分パスまたは完全パスを使用できます。 これには fnmatch の構文を使用できます。 たとえば、test/demo/**/* を対象とする制限により、test/demo/ ディレクトリ内のファイルまたはフォルダーへのプッシュが禁止されます。 test/docs/pushrules.md を対象とした制限により、test/docs/ ディレクトリ内の pushrules.md ファイルへのプッシュが禁止されます。 詳しくは、「リポジトリのルールセットの作成」をご覧ください。

プッシュ ルール セットの最終処理と次の手順

ルールセットの作成を完了するには、[作成] をクリックします。 ルールセットの適用ステータスが "アクティブ" に設定されている場合、ルールセットはすぐに有効になります。

ルールセットの分析情報を表示して、ルールが共同作成者にどのように影響しているかを確認できます。 適用ステータスが "評価" に設定されている場合、ルール セットがアクティブであった場合に合格または失敗したアクションを確認できます。 ルールセットの分析情報の詳細については、「リポジトリのルールセットの管理」を参照してください。