Skip to main content

このバージョンの GitHub Enterprise はこの日付をもって終了となります: 2022-09-28. 重大なセキュリティの問題に対してであっても、パッチリリースは作成されません。 パフォーマンスの向上、セキュリティの改善、新機能のためには、最新バージョンのGitHub Enterpriseにアップグレードしてください。 アップグレードに関する支援については、GitHub Enterprise supportに連絡してください。

Enterprise Server 3.2 release notes

July 21, 2022

📣 これはEnterprise Serverの最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。

    Security fixes

  • : サーバーサイドリクエストフォージェリ(SSRF)が、任意のデータをMemcachedをインジェクションすることによってSubversion(SVN)ブリッジにリモートコードを実行させうる攻撃を防ぎます。

  • Grafanaをバージョン7.5.17にアップデートします。このバージョンは CVE-2020-13379及びCVE-2022-21702を含む様々なセキュリティ脆弱性に対処しています。

  • パッケージは最新のセキュリティバージョンにアップデートされました。

    Bug fixes

  • 成果物のzipアーカイブ中のファイルが、unzipツールを使って展開されたときに000の権限を持つ問題を修正しました。GitHub.comでの動作と同じように、それらのファイルの権限には644が設定されるようになりました。

  • collectdデーモンが過剰にメモリを消費することがありました。

  • ローテーとされたログファイルのバックアップが蓄積され、過剰にストレージを消費することがありました。

  • 新しい機能リリースへのアップグレードとそれに続く設定の実行後、Elasticsearchがインデックスの再構築の間に過剰な例外を記録することがありました。

  • 保護されたブランチが1つ以上の承認レビューを要求する場合に、Pull Requestが必要な承認レビュー数よりも少ないレビュー数でマージできてしまうことがありました。

  • LDAP認証を使用しているインスタンスで、sudoモードに対する認証プロンプトにおいてユーザ名とパスワードに対するテキストフィールドがどちらも見えている場合に、誤ってカーソルがデフォルトでパスワードフィールドに置かれてしまいました。

    Changes

  • ghe-set-passwordコマンドラインユーティリティは、インスタンスがリカバリモードで起動されているときに自動的に必要なサービスを起動します。

  • バックグラウンドプロセスのaqueductのメトリクスは、転送してManagement Consoleで表示するためにCollectdに収集されます。

  • データベースの移行及び設定の実行ログ/data/user/common/ghe-config.logの場所は、進行中の移行の詳細を示すページに表示されるようになりました。

June 28, 2022

📣 これはこのリリースシリーズの最新パッチリリースではなく、これはEnterprise Serverの最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。

    Security fixes

  • : github.company.com及びgithub-company.comが内部のサービスによって同じホスト名と評価されないようにして、潜在的なサーバーサイドセキュリティフォージェリ(SSRF)攻撃を防ぎます。

  • : 外部のファイアウォールールがHTTPアクセスをブロックしている場合でも、HTTP経由のパストラバーサル攻撃で攻撃者がManagement Consoleにアクセスできました。

  • パッケージは最新のセキュリティバージョンにアップデートされました。

    Bug fixes

  • サイト管理者が自動的にEnterpriseオーナーとして追加されないことがありました。

  • ブランチをデフォルトのブランチにマージしたあと、ファイルの"History"リンクがターゲットのブランチではなく以前のブランチへのリンクのままになります。

    Changes

  • 名前のような特定のフィールドの値が長すぎる場合に、チェックの実行もしくはチェックスイートの作成ないしアップデートが500 Internal Server Errorを返すことがあります。

    Known issues

  • 新しくセットアップされたユーザを持たないGitHub Enterprise Serverインスタンスで、攻撃者が最初の管理ユーザを作成できました。

  • アップグレードの過程で、カスタムのファイアウォールのルールが削除されます。

  • Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。

  • 同じリポジトリ内のファイルパスが255文字を超えるblobへのパーマリンクを含むIssueをクローズできませんでした。

  • GitHub Connectで"Users can search GitHub.com(ユーザはGitHub.comの検索が可能)" が有効化されたとき、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。

  • GitHub Packagesのnpmレジストリは、メタデータのレスポンス中で時間の値を返さなくなります。これは、大きなパフォーマンス改善のために行われました。メタデータレスポンスの一部として時間の値を返すために必要なすべてのデータは保持し続け、既存のパフォーマンスの問題を解決した将来に、この値を返すことを再開します。

  • pre-receive フックの処理に固有のリソース制限によって、pre-receive フックに失敗するものが生じることがあります。

June 09, 2022

📣 これはこのリリースシリーズの最新パッチリリースではなく、これはEnterprise Serverの最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。

    Security fixes

  • パッケージは最新のセキュリティバージョンにアップデートされました。

    Bug fixes

  • GitHub Enterprise Serverの設定ファイル中のホスト名を検証する内部的なスクリプトが、ホスト名の文字列が"."(ピリオド)で始まっているとエラーを返します。

  • プライマリノードのホスト名が60文字以上の長さになっているHA構成において、MySQLの設定に失敗します。

  • ghe-setup-networkコマンドに--gateway引数が追加され、コマンドラインを使ってネットワーク設定をする際にゲートウェイのアドレスを渡せるようになりました。

  • 削除された画像の添付ファイルは、404 Not Foundエラーではなく500 Internal Server Errorを返します。

  • サイトアドミンのダッシュボードで報告される"maximum committers across entire instance(インスタンス全体での最大のコミッタ数)"の計算は正しくありませんでした。

  • GitHub Enterprise Serverバックアップユーティリティを試用した復元の実行時に、リポジトリレプリカの不正確なデータベースエントリによって、データベースが破損しました。

    Changes

  • クラスタのSupport Bundleの生成時に、含めるメトリクスを最適化しました。

  • Elasticsearchが有効な黄色のステータスを報告してきた場合のHA構成において、以前の修正で導入された変更がghe-repl-stopコマンドをブロックし、レプリカの停止を妨げます。ghe-repo-stop --forceを使用すれば、Elasticsearchのサービスが通常もしくは有効な黄色のステータスにある場合に、強制的にElasticsearchが停止されます。

    Known issues

  • 新しくセットアップされたユーザを持たないGitHub Enterprise Serverインスタンスで、攻撃者が最初の管理ユーザを作成できました。

  • アップグレードの過程で、カスタムのファイアウォールのルールが削除されます。

  • Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。

  • 同じリポジトリ内のファイルパスが255文字を超えるblobへのパーマリンクを含むIssueをクローズできませんでした。

  • GitHub Connectで"Users can search GitHub.com(ユーザはGitHub.comの検索が可能)" が有効化されたとき、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。

  • GitHub Packagesのnpmレジストリは、メタデータのレスポンス中で時間の値を返さなくなります。これは、大きなパフォーマンス改善のために行われました。メタデータレスポンスの一部として時間の値を返すために必要なすべてのデータは保持し続け、既存のパフォーマンスの問題を解決した将来に、この値を返すことを再開します。

  • pre-receive フックの処理に固有のリソース制限によって、pre-receive フックに失敗するものが生じることがあります。

May 17, 2022

📣 これはこのリリースシリーズの最新パッチリリースではなく、これはEnterprise Serverの最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。

    Security fixes

  • 中: DNSサーバーからのUDPパケットを偽造できる攻撃者が1バイトのメモリオーバーライトを起こし、ワーカープロセスをクラッシュさせたり、その他の潜在的にダメージのある影響を及ぼせるような、nginxリゾルバのセキュリティ問題が特定されました。この脆弱性にはCVE-2021-23017が割り当てられました。

  • actions/checkout@v2及びactions/checkout@v3アクションが更新され、Gitセキュリティ施行ブログポストでアナウンスされた新しい脆弱性に対処しました。

  • パッケージは最新のセキュリティバージョンにアップデートされました。

    Bug fixes

  • 一部のクラスタトポロジーで、ghe-cluster-statusコマンドが/tmpに空のディレクトリを残しました。

  • SNMPがsyslogに大量のCannot statfsエラーメッセージを誤って記録しました。

  • SAML認証が設定され、ビルトインのフォールバックが有効化されたインスタンスで、ビルトインのユーザがログアウト後に生成されたページからサインインしようとすると、“login”ループに捕まってしまいます。

  • Issueコメントにアップロードされたビデオが適切にレンダリングされません。

  • SAML暗号化されたアサーションを利用する場合、一部のアサーションは正しくSSHキーを検証済みとしてマークしませんでした。

  • ghe-migratorを使う場合、移行はIssueやPull Request内のビデオの添付ファイルのインポートに失敗します。

  • リポジトリに非ASCII文字が含まれているタグがある場合、リリースページが500エラーを返します。[更新: 2022年06月10日]

    Changes

  • 高可用性構成では、Management Consoleのレプリケーションの概要ページが現在のレプリケーションのステータスではなく、現在のレプリケーション設定だけを表示することを明確にしてください。

  • GitHub Packagesを有効化する場合、接続文字列としてのShared Access Signature (SAS)トークンの利用は現在サポートされていないことを明確にしてください。

  • Support BundleにはMySQLに保存されたテーブルの行数が含まれるようになりました。

  • 依存関係グラフは脆弱性のデータなしで有効化できるようになり、使用されている依存関係とバージョンを見ることができるようになりました。GitHub Connectを有効化せずに依存関係グラフを有効化しても、脆弱性の情報は提供されません

    Known issues

  • 新しくセットアップされたユーザを持たないGitHub Enterprise Serverインスタンスで、攻撃者が最初の管理ユーザを作成できました。

  • アップグレードの過程で、カスタムのファイアウォールのルールが削除されます。

  • Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。

  • 同じリポジトリ内のファイルパスが255文字を超えるblobへのパーマリンクを含むIssueをクローズできませんでした。

  • GitHub Connectで"Users can search GitHub.com(ユーザはGitHub.comの検索が可能)" が有効化されたとき、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。

  • GitHub Packagesのnpmレジストリは、メタデータのレスポンス中で時間の値を返さなくなります。これは、大きなパフォーマンス改善のために行われました。メタデータレスポンスの一部として時間の値を返すために必要なすべてのデータは保持し続け、既存のパフォーマンスの問題を解決した将来に、この値を返すことを再開します。

  • pre-receive フックの処理に固有のリソース制限によって、pre-receive フックに失敗するものが生じることがあります。

April 20, 2022

📣 これはこのリリースシリーズの最新パッチリリースではなく、これはEnterprise Serverの最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。

    Security fixes

  • パッケージは最新のセキュリティバージョンにアップデートされました。

    Bug fixes

  • アップグレードパッケージで高可用性ペアのノードをアップグレードすると、Elasticsearchが不整合な状態になることがあります。

  • 一部のクラスタトポロジでは、コマンドラインユーティリティのghe-spokesctl及びghe-btopの実行が失敗します。

  • パッケージのアップグレードの間に、elasticsearch-upgradeサービスが複数回並列に実行されることから、Elasticsearchのインデックスが複製されることがあります。

  • ユーザアカウントをOrganizationに変換する際に、そのユーザアカウントがGitHub Enterprise Server Enterpriseアカウントのオーナーだった場合、変換されたOrganizationは誤ってEntepriseオーナーのリストに表示されます。

  • OAuth Application IDがマッチするインテグレーションが既に存在する場合、Enterprise Administration REST APIを使った偽装OAuthトークンの作成が正しく動作しませんでした。

    Changes

  • 設定の適用の実行を停止させる設定エラーは、設定ログに加えてターミナルにも出力されるようになりました。

  • Memcachedで許されている最大よりも長い値をキャッシュしようとするとエラーが生じますが、キーは報告されませんでした。

  • CodeQLスターターワークフローは、GitHub Actionsのためのデフォルトのトークンの権限が使われていない場合でも、エラーになりません。

  • インスタンスでGitHub Advanced Securityの機能が有効化されている場合、リポジトリのコントリビューションに対するバッチを処理している際のバックグラウンドジョブのパフォーマンスが改善されました。

    Known issues

  • 新しくセットアップされたユーザを持たないGitHub Enterprise Serverインスタンスで、攻撃者が最初の管理ユーザを作成できました。

  • アップグレードの過程で、カスタムのファイアウォールのルールが削除されます。

  • Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。

  • 同じリポジトリ内のファイルパスが255文字を超えるblobへのパーマリンクを含むIssueをクローズできませんでした。

  • GitHub Connectで"Users can search GitHub.com(ユーザはGitHub.comの検索が可能)" が有効化されたとき、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。

  • GitHub Packagesのnpmレジストリは、メタデータのレスポンス中で時間の値を返さなくなります。これは、大きなパフォーマンス改善のために行われました。メタデータレスポンスの一部として時間の値を返すために必要なすべてのデータは保持し続け、既存のパフォーマンスの問題を解決した将来に、この値を返すことを再開します。

  • pre-receive フックの処理に固有のリソース制限によって、pre-receive フックに失敗するものが生じることがあります。

April 04, 2022

📣 これはこのリリースシリーズの最新パッチリリースではなく、これはEnterprise Serverの最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。

    Security fixes

  • 中: CSRF保護のバイパスを許してしまうパストラバーサルの脆弱性が、GitHub Enterprise ServerのManagement Consoleで特定されました。この脆弱性は3.5以前のすべてのGitHub Enterprise Serverのバージョンに影響し、バージョン3.1.19、3.2.11、3.3.6、3.4.1で修正されました。この脆弱性はGitHub Bug Bountyプログラムを通じて報告され、CVE-2022-23732が割り当てられました。

  • 中: yajilの1.xブランチ及び2.xブランチで、整数オーバーフローの脆弱性が特定されました。これは、大きな(2GB以上)の入力を処理する際に、それ以降のヒープメモリの破壊につながるものです。この脆弱性は内部的に報告され、CVE-2022-24795が割り当てられました。

  • GitHub Actionsが有効化されている場合、Support Bundleにセンシティブなファイルが含まれることがありました。

  • パッケージは最新のセキュリティバージョンにアップデートされました。

    Bug fixes

  • GitHub Enterprise Serverのアップグレード後に、古い設定オプションが残っている場合、MinioのプロセスのCPU使用率が高くなります。

  • Management Consolemのプライバシー設定でTLS 1.0TLS 1.1の有効化のオプションが表示されていましたが、これらのプロトコルバージョンは以前のリリースで削除されていました。

  • HA環境において、MSSQLのレプリケーション設定には初回のGitHub Actionsの有効化のあとに、手作業の追加ステップが必要になることがあります。

  • 内部設定ファイルの一部は、ホットパッチ後にさらに確実に更新されます。

  • ghe-run-migrationsスクリプトは、一時的な証明書名を正しく生成するのに失敗することがあります。

  • クラスタ環境において、複数のWebノードをまたぐ内部APIの失敗によって、Git LFSの操作が失敗することがありました。

  • gpg --importを使うpre-receiveフックが、不十分なsyscall権限のためにタイムアウトしました。

  • 一部のクラスタトポロジーにおいて、webhookの配信情報が利用できませんでした。

  • HA設定では、GitHub Actionsが以前に有効化されていた場合、レプリカの破棄が失敗します。

  • 移行の実行中に、Elasticsearchのヘルスチェックが黄色のクラスタのステータスを許しません。

  • ユーザが自分のアカウントをOrganizationに変換した結果作成されたOrganizationが、グローバルなEnterpriseアカウントに追加されませんでした。

  • ghe-migratorを使う場合、もしくはGitHub.comからエクスポートする場合、データがエクスポート中に削除されると実行に長時間かかるエクスポートが失敗します。

  • GitHub Actionsデプロイメントグラフで、保留中のジョブの連打リンクの際にエラーが表示されます。

  • アクセスできないページへのリンクが削除されました。

  • Web UIで2つのコミットの比較から別のところに移動すると、他のページにdiffが保持されます。

  • TeamをPull Requestのレビュー担当者として追加すると、そのTeamのメンバー数が正しく表示されないことがあります。

  • 外部でSCIMグループにょって管理されているメンバーを削除しようとすると、Remove team membership for a user API エンドポイントがエラーを返します。

  • 大量の休眠ユーザによってGitHub Connectの設定が失敗することがあります。

  • サイトアドミンのWeb UIの"Feature & beta enrollments(機能とベータ登録)"ページが誤って利用可能でした。

  • サイトのフッタの"Site admin mode(サイトアドミンモード)"リンクが、クリックされても状態が変化しませんでした。

  • spokesctl cache-policy rmコマンドは、error: failed to delete cache policyというメッセージで失敗することがなくなりました。

    Changes

  • 大規模なクラスタトポロジーへの対応を改善するため、Memcachedの接続制限が引き上げられました。

  • Dependency Graph APIは、以前は静的に定義されたポートで実行されていました。

  • クラスタ関連のElasticsearchのシャード設定のデフォルトのシャード数が更新されました。

  • Teamロールの“Triage”及び“Maintain”は、リポジトリの移行中に保持されます。

  • Enterpriseのオーナーによって発行されたWebリクエストのパフォーマンスが改善されました。

    Known issues

  • 新しくセットアップされたユーザを持たないGitHub Enterprise Serverインスタンスで、攻撃者が最初の管理ユーザを作成できました。

  • アップグレードの過程で、カスタムのファイアウォールのルールが削除されます。

  • Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。

  • 同じリポジトリ内のファイルパスが255文字を超えるblobへのパーマリンクを含むIssueをクローズできませんでした。

  • GitHub Connectで"Users can search GitHub.com(ユーザはGitHub.comの検索が可能)" が有効化されたとき、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。

  • GitHub Packagesのnpmレジストリは、メタデータのレスポンス中で時間の値を返さなくなります。これは、大きなパフォーマンス改善のために行われました。メタデータレスポンスの一部として時間の値を返すために必要なすべてのデータは保持し続け、既存のパフォーマンスの問題を解決した将来に、この値を返すことを再開します。

  • pre-receive フックの処理に固有のリソース制限によって、pre-receive フックに失敗するものが生じることがあります。

March 01, 2022

📣 これはこのリリースシリーズの最新パッチリリースではなく、これはEnterprise Serverの最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。

    Security fixes

  • 高: GitHubのMarkdownパーサーで、情報漏洩とRCEにつながる整数オーバーフローの脆弱性が特定されました。この脆弱性は、GoogleのProject ZeroのFelix WilhelmによってGitHub Bug Bountyプログラムを通じて報告され、CVE-2022-24724が割り当てられました。

    Bug fixes

  • 高可用性レプリカのクロックがプライマリと同期していない場合、アップグレードが失敗することがありました。

  • 2020年9月1日以降に作成されたOAuthアプリケーションは、 Check an Authorization API エンドポイントを使用できませんでした。

    Known issues

  • 新しくセットアップされたユーザを持たないGitHub Enterprise Serverインスタンスで、攻撃者が最初の管理ユーザを作成できました。

  • アップグレードの過程で、カスタムのファイアウォールのルールが削除されます。

  • Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。

  • 同じリポジトリ内のファイルパスが255文字を超えるblobへのパーマリンクを含むIssueをクローズできませんでした。

  • GitHub Connectで"Users can search GitHub.com"が有効化されている場合、GitHub.comの検索結果にプライベート及びインターナルリポジトリのIssueが含まれません。

  • GitHub Packagesのnpmレジストリは、メタデータのレスポンス中で時間の値を返さなくなります。これは、大きなパフォーマンス改善のために行われました。メタデータレスポンスの一部として時間の値を返すために必要なすべてのデータは保持し続け、既存のパフォーマンスの問題を解決した将来に、この値を返すことを再開します。

  • pre-receive フックの処理に固有のリソース制限によって、pre-receive フックに失敗するものが生じることがあります。

February 17, 2022

📣 これはこのリリースシリーズの最新パッチリリースではなく、これはEnterprise Serverの最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。

    Security fixes

  • ユーザが、"saml"というユーザもしくはOrganizationを登録することが可能でした。

  • パッケージは最新のセキュリティバージョンにアップデートされました。

    Bug fixes

  • Azure Blob Storageが使われている場合、Management ConsoleでGitHub Packagesのストレージ設定を検証して保存することができませんでした。

  • 不正な文字セットの警告で、設定オプションのmssql.backup.cadenceによってghe-config-checkが失敗しました。

  • memcachedから2^16以上のキーを取得する際のSystemStackError(スタックが深すぎる)を修正しました。

    Changes

  • Secret scaningがZIP及び他のアーカイブファイルでシークレットのスキャンをスキップしてしまいます。

    Known issues

  • 新しくセットアップされたユーザを持たないGitHub Enterprise Serverインスタンスで、攻撃者が最初の管理ユーザを作成できました。

  • アップグレードの過程で、カスタムのファイアウォールのルールが削除されます。

  • Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。

  • 同じリポジトリ内のファイルパスが255文字を超えるblobへのパーマリンクを含むIssueをクローズできませんでした。

  • GitHub Connectで"Users can search GitHub.com"が有効化されている場合、GitHub.comの検索結果にプライベート及びインターナルリポジトリのIssueが含まれません。

  • GitHub Packagesのnpmレジストリは、メタデータのレスポンス中で時間の値を返さなくなります。これは、大きなパフォーマンス改善のために行われました。メタデータレスポンスの一部として時間の値を返すために必要なすべてのデータは保持し続け、既存のパフォーマンスの問題を解決した将来に、この値を返すことを再開します。

  • pre-receive フックの処理に固有のリソース制限によって、pre-receive フックに失敗するものが生じることがあります。

February 01, 2022

📣 これはこのリリースシリーズの最新パッチリリースではなく、これはEnterprise Serverの最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。

    Security fixes

  • パッケージは最新のセキュリティバージョンにアップデートされました。

    Bug fixes

  • nginxが手動で再起動されるまで、MySQLのシークレットのローテーション後にPagesが利用できなくなります。

  • GitHub Actionsが有効化されていると、移行に失敗することがあります。

  • ISO 8601の日付でメンテナンススケジュールを設定すると、タイムゾーンがUTCに変換されないことから実際にスケジュールされる時間が一致しません。

  • cloud-config.serviceに関する誤ったエラーメッセージがコンソールに出力されます。

  • ghe-cluster-eachを使ってホットパッチをインストールすると、バージョン番号が正しく更新されません。

  • webhookテーブルのクリーンアップジョブが同時に実行され、リソース競合とジョブの実行時間の増大を招くことがあります。

  • プライマリから実行された場合、レプリカ上のghe-repl-teardownはレプリカをMSSQLの可用性グループから削除しません。

  • CAS認証を使用し、"Reactivate suspended users"オプションが有効化されている場合、サスペンドされたユーザは自動的に際アクティベートされませんでした。

  • ユーザへのメールベースの通知を検証済みあるいは承認されたドメイン上のメールに制限する機能が正常に動作しませんでした。

  • 長時間実行されるセキュリティアラート関連のデータベースの移行が、アップグレードの完了を遅延させることがあります。

    Changes

  • GitHub Connectのデータ接続レコードに、アクティブ及び休眠ユーザ数と、設定された休眠期間が含まれるようになりました。

    Known issues

  • 新しくセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理ユーザを作成できました。

  • アップグレードの過程で、カスタムのファイアウォールのルールが削除されます。

  • Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。

  • 同じリポジトリ内のファイルパスが255文字を超えるblobへのパーマリンクを含むIssueをクローズできませんでした。

  • GitHub Connectで"Users can search GitHub.com"が有効化されている場合、GitHub.comの検索結果にプライベート及びインターナルリポジトリのIssueが含まれません。

  • GitHub Packagesのnpmレジストリは、メタデータのレスポンス中で時間の値を返さなくなります。これは、大きなパフォーマンス改善のために行われました。メタデータレスポンスの一部として時間の値を返すために必要なすべてのデータは保持し続け、既存のパフォーマンスの問題を解決した将来に、この値を返すことを再開します。

  • pre-receive フックの処理に固有のリソース制限によって、pre-receive フックに失敗するものが生じることがあります。

January 18, 2022

📣 これはこのリリースシリーズの最新パッチリリースではなく、これはEnterprise Serverの最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。

    Security fixes

  • パッケージは最新のセキュリティバージョンに更新されました。これらの更新で、Log4jはバージョン2.17.1に更新されました。ノート: 3.3.1、3.2.6、3.1.14、3.0.22でリリースされた以前の緩和対応は、GitHub Enterprise ServerのこれらのバージョンにおけるCVE-2021-44228、CVE-2021-45046、CVE-2021-45105、CVE-2021-44832の影響に対応するには十分なものです。

  • 生成されるSupport Bundleでのより多くのシークレットのサニタイズ

  • パッケージは最新のセキュリティバージョンにアップデートされました。

    Bug fixes

  • Actionsのセルフホストランナーは、古いGHESのインストールからのアップグレード後に、自己更新あるいは新しいジョブの実行に失敗します。

  • MinIOをGitHub Packagesのblobストレージとして設定しようとすると、ストレージ設定が検証できませんでした。

  • ghe-config-applyを実行すると、/data/user/tmp/pagesにおける権限の問題のために失敗することがあります。

  • 低解像度のブラウザで、スクロールしてもManagement ConsoleのSaveボタンに到達できませんでした。

  • collectdのバージョンアップグレード後、IOPSとストレージトラフィックのモニタリンググラフが更新されませんでした。

  • 一部のwebhookに関連するジョブが、大量のログを発生させることがありました。

  • いくつのかのドキュメンテーションリンクが404 Not Found errorになりました。

    Known issues

  • 新しくセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理ユーザを作成できました。

  • アップグレードの過程で、カスタムのファイアウォールのルールが削除されます。

  • Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。

  • 同じリポジトリ内のファイルパスが255文字を超えるblobへのパーマリンクを含むIssueをクローズできませんでした。

  • GitHub Connectで"Users can search GitHub.com"が有効化されている場合、GitHub.comの検索結果にプライベート及びインターナルリポジトリのIssueが含まれません。

  • GitHub Packagesのnpmレジストリは、メタデータのレスポンス中で時間の値を返さなくなります。これは、大きなパフォーマンス改善のために行われました。メタデータレスポンスの一部として時間の値を返すために必要なすべてのデータは保持し続け、既存のパフォーマンスの問題を解決した将来に、この値を返すことを再開します。

  • pre-receive フックの処理に固有のリソース制限によって、pre-receive フックに失敗するものが生じることがあります。

December 13, 2021

📣 これはこのリリースシリーズの最新パッチリリースではなく、これはEnterprise Serverの最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。

    Security fixes

  • 重大 CVE-2021-44228として特定されたLOg4jライブラリのリモートコード実行の脆弱性は、3.3.1以前のすべてのバージョンのGitHub Enterprise Serverに影響します。Log4jライブラリは、GitHub Enterprise Serverインスタンス上で動作するオープンソースのサービスで使われています。この脆弱性はGitHub Enterprise Serverバージョン3.0.22、3.1.14、3.2.6、3.3.1で修正されました。詳しい情報についてはGitHub Blogのこのポストを参照してください。

  • 2021年12月17日更新 : このリリースでの修正は、このリリース後に公開されたCVE-2021-45046も緩和します。CVE-2021-44228とCVE-2021-45046をどちらも緩和するために、GitHub Enterprise Serverに追加のアップグレードは必要ありません。

    Known issues

  • 新しくセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理ユーザを作成できました。

  • アップグレードの過程で、カスタムのファイアウォールのルールが削除されます。

  • Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。

  • 同じリポジトリ内のファイルパスが255文字を超えるblobへのパーマリンクを含むIssueをクローズできませんでした。

  • GitHub Connectで"Users can search GitHub.com"が有効化されている場合、GitHub.comの検索結果にプライベート及びインターナルリポジトリのIssueが含まれません。

  • GitHub Packagesのnpmレジストリは、メタデータのレスポンス中で時間の値を返さなくなります。これは、大きなパフォーマンス改善のために行われました。メタデータレスポンスの一部として時間の値を返すために必要なすべてのデータは保持し続け、既存のパフォーマンスの問題を解決した将来に、この値を返すことを再開します。

  • pre-receive フックの処理に固有のリソース制限によって、pre-receive フックに失敗するものが生じることがあります。

December 07, 2021

📣 これはこのリリースシリーズの最新パッチリリースではなく、これはEnterprise Serverの最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。

    Security fixes

  • 特定の条件群が満たされる場合に、Support Bundleにセンシティブなファイルが含まれることがあります。

  • 承認の際にユーザに表示される以上の権限が、GitHub Appのユーザ認証Webフローの間に付与されてしまうUIの表示ミスの脆弱性がGitHub Enterprise Serverで特定されました。この脆弱性は3.3以前のすべてのバージョンのGitHub Enterprise Serverに影響し、バージョン3.2.5、3.1.13、3.0.21で修正されました。この脆弱性はGitHub Bug Bountyプログラムを通じて報告され、CVE-2021-41598が割り当てられました。

  • GitHub Pagesのサイトをビルドする際に悪用されることがあるリモートコード実行の脆弱性が、GitHub Enterprise Serverで特定されました。この脆弱性は3.3以前のすべてのバージョンのGitHub Enterprise Serverに影響し、3.0.21、3.1.13、3.2.5で修正されました。この脆弱性はGitHub Bug Bountyプログラムを通じて報告され、[CVE-2021-41599](https://www.cve.org/CVERecord?id=CVE-2021-41599)が割り当てられました。2022年2月17日更新。

    Bug fixes

  • Actionsが有効化されていない場合に、一部のケースでghe-support-bundleが予期しないUnable to find MS SQL containerというメッセージを報告しました。

  • ghe-config-applyを実行すると、/data/user/tmp/pagesにおける権限の問題のために失敗することがあります。

  • Management Consoleの設定ミスにより、スケジューリングのエラーが生じました。

  • Dockerが、ログのローテーション後にログファイルをオープンしたまま保持します。

  • UTF-8互換ではないblob_pathの値の誤った処理のため、移行が止まってしまうことがあります。

  • pre-receiveフック環境において、GraphQLのリクエストがGITHUB_USER_IP変数を設定しませんでした。

  • OrgのAudit log上のページネーションのリンクが、クエリパラメータを保持しません。

  • ホットパッチの際にトランザクションが複数回実行されると、ハッシュが重複する可能性があります。

    Changes

  • ドキュメンテーションでActionsのパススタイルの説明を明確化します。

  • サポートの連絡先URLが現在のサポートサイトであるsupport.github.comを使うよう更新。

  • ghe-mssql-diagnosticを実行する際に、追加のトラブルシューティングが提供されます。

    Known issues

  • 新しくセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理ユーザを作成できました。

  • アップグレードの過程で、カスタムのファイアウォールのルールが削除されます。

  • Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。

  • 同じリポジトリ内のファイルパスが255文字を超えるblobへのパーマリンクを含むIssueをクローズできませんでした。

  • GitHub Connectで"Users can search GitHub.com"が有効化されている場合、GitHub.comの検索結果にプライベート及びインターナルリポジトリのIssueが含まれません。

  • GitHub Packagesのnpmレジストリは、メタデータのレスポンス中で時間の値を返さなくなります。これは、大きなパフォーマンス改善のために行われました。メタデータレスポンスの一部として時間の値を返すために必要なすべてのデータは保持し続け、既存のパフォーマンスの問題を解決した将来に、この値を返すことを再開します。

  • pre-receive フックの処理に固有のリソース制限によって、pre-receive フックに失敗するものが生じることがあります。

November 23, 2021

📣 これはこのリリースシリーズの最新パッチリリースではなく、これはEnterprise Serverの最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。

複数のお客様に影響する重大なバグのため、ダウンロードは無効になりました。修正は次回のパッチで利用可能になります。

    Security fixes

  • パッケージは最新のセキュリティバージョンにアップデートされました。

    Bug fixes

  • GitHub Actionsが有効化されている場合、ghe-repl-startもしくはghe-repl-statusを実行すると、データベースへの接続でエラーが返されることがあります。

  • pre-receiveフックがPATHの未定義で失敗します。

  • インスタンスが以前にレプリカとして設定されていた場合、ghe-repl-setupを実行するとcannot create directory /data/user/elasticsearch: File existsというエラーが返されます。

  • ghe-support-bundleを実行すると、integer expression expectedというエラーが返されます。

  • 高可用性レプリカをセットアップした後、ghe-repl-statusunexpected unclosed action in commandというエラーを出力に含めました。

  • 大規模なクラスタ環境に置いて、一部のフロントエンドノードで認証バックエンドが利用できなくなることがあります。

  • GHESクラスタにおいて、一部の重要なサービスがバックエンドノードで利用できないことがあります。

  • /repos APIによってユーザに返されたリポジトリ権限は、完全なリストを返しません。

  • GraphQL スキーマのTeamオブジェクトのchildTeams接続は、一部の状況で誤った結果を生成しました。

  • 高可用性設定では、リポジトリのメンテナンスは成功した場合であっても常にstafftoolsで失敗があったと表示しました。

  • ユーザ定義のパターンは、 package.jsonあるいはyarn.lockといったファイル内のシークレットを検出しません。

    Changes

  • ghe-cluster-suport-bundleでクラスタSupport Bundleを作成する際のgzip圧縮の追加外部レイヤーは、デフォルトでオフになりました。この外部圧縮は、ghe-cluster-suport-bundle -c`コマンドラインオプションで適用できます。

  • 体験を改善するためのモバイルアプリケーションのデータ収集についてユーザにリマインドするために、管理コンソールにテキストを追加しました。

  • GitHub Connectデータ接続レコードには、有効化されたGitHub Connect機能のリストが含まれるようになりました。[2021年12月09日更新]

    Known issues

  • 新しくセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理ユーザを作成できました。

  • アップグレードの過程で、カスタムのファイアウォールのルールが削除されます。

  • Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。

  • 同じリポジトリ内のファイルパスが255文字を超えるblobへのパーマリンクを含むIssueをクローズできませんでした。

  • GitHub Connectで"Users can search GitHub.com"が有効化されている場合、GitHub.comの検索結果にプライベート及びインターナルリポジトリのIssueが含まれません。

  • GitHub Packagesのnpmレジストリは、メタデータのレスポンス中で時間の値を返さなくなります。これは、大きなパフォーマンス改善のために行われました。メタデータレスポンスの一部として時間の値を返すために必要なすべてのデータは保持し続け、既存のパフォーマンスの問題を解決した将来に、この値を返すことを再開します。

  • pre-receive フックの処理に固有のリソース制限によって、pre-receive フックに失敗するものが生じることがあります。

November 09, 2021

📣 これはこのリリースシリーズの最新パッチリリースではなく、これはEnterprise Serverの最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。

    Security fixes

  • A path traversal vulnerability was identified in GitHub Pages builds on GitHub Enterprise Server that could allow an attacker to read system files. To exploit this vulnerability, an attacker needed permission to create and build a GitHub Pages site on the GitHub Enterprise Server instance. This vulnerability affected all versions of GitHub Enterprise Server prior to 3.3, and was fixed in versions 3.0.19, 3.1.11, and 3.2.3. This vulnerability was reported through the GitHub Bug Bounty program and has been assigned CVE-2021-22870.

  • Packages have been updated to the latest security versions.

    Bug fixes

  • Some Git operations failed after upgrading a GitHub Enterprise Server 3.x cluster because of the HAProxy configuration.

  • Unicorn worker counts might have been set incorrectly in clustering mode.

  • Resqued worker counts might have been set incorrectly in clustering mode.

  • If Ubuntu's Uncomplicated Firewall (UFW) status was inactive, a client could not clearly see it in the logs.

  • Upgrading from GitHub Enterprise Server 2.x to 3.x failed when there were UTF8 characters in an LDAP configuration.

  • Some pages and Git-related background jobs might not run in cluster mode with certain cluster configurations.

  • The documentation link for Server Statistics was broken.

  • When a new tag was created, the push webhook payload did not display a correct head_commit object. Now, when a new tag is created, the push webhook payload now always includes a head_commit object that contains the data of the commit that the new tag points to. As a result, the head_commit object will always contain the commit data of the payload's after commit.

  • The enterprise audit log page would not display audit events for secret scanning.

  • There was an insufficient job timeout for replica repairs.

  • A repository's releases page would return a 500 error when viewing releases.

  • Users were not warned about potentially dangerous bidirectional unicode characters when viewing files. For more information, see "Warning about bidirectional Unicode text" in GitHub ブログ.

  • Hookshot Go sent distribution type metrics that Collectd could not handle, which caused a ballooning of parsing errors.

  • Public repositories displayed unexpected results from secret scanning with a type of Unknown Token.

    Changes

  • Kafka configuration improvements have been added. When deleting repositories, package files are now immediately deleted from storage account to free up space. DestroyDeletedPackageVersionsJob now deletes package files from storage account for stale packages along with metadata records.

    Known issues

  • On a freshly set up GitHub Enterprise Server without any users, an attacker could create the first admin user.

  • Custom firewall rules are removed during the upgrade process.

  • Git LFS tracked files uploaded through the web interface are incorrectly added directly to the repository.

  • Issues cannot be closed if they contain a permalink to a blob in the same repository, where the blob's file path is longer than 255 characters.

  • When "Users can search GitHub.com" is enabled with GitHub Connect, issues in private and internal repositories are not included in GitHub.com search results.

  • The GitHub Packages npm registry no longer returns a time value in metadata responses. This was done to allow for substantial performance improvements. We continue to have all the data necessary to return a time value as part of the metadata response and will resume returning this value in the future once we have solved the existing performance issues.

  • Resource limits that are specific to processing pre-receive hooks may cause some pre-receive hooks to fail.

October 28, 2021

📣 これはこのリリースシリーズの最新パッチリリースではなく、これはEnterprise Serverの最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。

    Security fixes

  • 平文のパスワードが特定のログファイルに残る可能性がありました。

  • いくつかの既知の弱いSSH公開鍵が拒否リストに追加され、登録できなくなりました。加えて、弱いSSHキーを生成することが知られているGitKrakenのバージョン(7.6.x、7.7.x、8.0.0)による新しい公開鍵の登録がブロックされました。

  • パッケージは最新のセキュリティバージョンにアップデートされました。

    Bug fixes

  • orchestratorが正常でない場合、クラスタリングモードのEnterpriseサーバーのリストアが失敗することがあります。

  • CodespacesのリンクがOrganizationの設定に表示されました。

  • 多くのOrganizationのオーナーであるユーザは、アプリケーションの一部を使用できませんでした。

  • https://docs.github.comへのリンクを修正しました。

    Changes

  • 多くのrefを持つリポジトリのブラウズ及びジョブのパフォーマンス最適化。

    Known issues

  • リポジトリで新しいリリースを保存したあと、/releasesページが500エラーを表示しました。この問題の修正は、3.2.3で出荷される予定です。

  • 新しくセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理ユーザを作成できました。

  • アップグレードの過程で、カスタムのファイアウォールのルールが削除されます。

  • Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。

  • 同じリポジトリ内のファイルパスが255文字を超えるblobへのパーマリンクを含むIssueをクローズできませんでした。

  • GitHub Connectで"Users can search GitHub.com"が有効化されている場合、GitHub.comの検索結果にプライベート及びインターナルリポジトリのIssueが含まれません。

  • GitHub Packagesのnpmレジストリは、メタデータのレスポンス中で時間の値を返さなくなります。これは、大きなパフォーマンス改善のために行われました。メタデータレスポンスの一部として時間の値を返すために必要なすべてのデータは保持し続け、既存のパフォーマンスの問題を解決した将来に、この値を返すことを再開します。

  • pre-receive フックの処理に固有のリソース制限によって、pre-receive フックに失敗するものが生じることがあります。

October 12, 2021

📣 これはこのリリースシリーズの最新パッチリリースではなく、これはEnterprise Serverの最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。

    Security fixes

  • パッケージが最新のセキュリティバージョンに更新されました。

    Bug fixes

  • カスタムのpre-receive フックが、制約の厳しすぎる仮想メモリもしくはCPU時間の制限のために失敗することがありました。

  • GitHub Enterprise Serverのクラスタリング構成で、依存関係グラフの設定が不正確に適用されることがありました。

  • ghe-cleanup-settingsで既存のすべての設定を消去しようとすると、Management Consoleサービスの再起動に失敗しました。

  • ghe-repl-teardown でのレプリケーションのティアダウンの間に、Memcachedが再起動に失敗しました。

  • 高負荷の間、上流のサービスが内部的なヘルスチェックに失敗した際に、ユーザがHTTPステータスコード503を受信することになります。

  • pre-receiveフック環境が、Alpine上のBusyBoxからcatコマンドを呼び出すことが禁じられていました。

  • プライマリのクラスタデータセンターからセカンダリのクラスタデータセンターへのフェイルオーバーは成功しますが、その後オリジナルのプライマリクラスタデータセンターへのフェイルバックがElasticsearchインデックスの昇格に失敗しました。

  • OrganizationのTeamsページの"Import teams"ボタンがHTTP 404を返しました。

  • APIを使用してSecret scanningを無効化すると、無効化は正しく行われますが、誤ってHTTP 422とエラーメッセージが返されました。

  • 場合によって、Dormant users ページを閲覧しようとしたGitHub Enterpriseの管理者が502 Bad Gatewayもしくは504 Gateway Timeoutレスポンスを受信しました。

  • 特定の高負荷状況において、SynchronizePullRequestJobジョブ数の増大の結果として、パフォーマンスに負の影響がありました。

  • Secret scanning用に作成されたユーザ定義パターンが、削除されたあとにもスキャンされ続けます。

    Changes

  • GitHub Appsは、APIと整合性を持ってSecret scanningの機能を設定するようになりました。

    Known issues

  • 新しくセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理ユーザを作成できました。

  • アップグレードの過程で、カスタムのファイアウォールのルールが削除されます。

  • Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。

  • 同じリポジトリ内のファイルパスが255文字を超えるblobへのパーマリンクを含むIssueをクローズできませんでした。

  • GitHub Connectで"Users can search GitHub.com"が有効化されている場合、GitHub.comの検索結果にプライベート及びインターナルリポジトリのIssueが含まれません。

  • GitHub Packagesのnpmレジストリは、メタデータのレスポンス中で時間の値を返さなくなります。これは、大きなパフォーマンス改善のために行われました。メタデータレスポンスの一部として時間の値を返すために必要なすべてのデータは保持し続け、既存のパフォーマンスの問題を解決した将来に、この値を返すことを再開します。

  • pre-receive フックの処理に固有のリソース制限によって、pre-receive フックに失敗するものが生じることがあります。

September 28, 2021

📣 これはこのリリースシリーズの最新パッチリリースではなく、これはEnterprise Serverの最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。

For upgrade instructions, see "Upgrading GitHub Enterprise Server."

    Features

    Custom patterns for secret scanning

  • GitHub Advanced Security customers can now specify custom patterns for secret scanning. When a new pattern is specified, secret scanning searches a repository's entire Git history for the pattern, as well as any new commits.

    User defined patterns are in beta for GitHub Enterprise Server 3.2. They can be defined at the repository, organization, and enterprise levels. For more information, see "Defining custom patterns for secret scanning."

  • Security overview for Advanced Security (beta)

  • GitHub Advanced Security customers now have an organization-level view of the application security risks detected by code scanning, Dependabot, and secret scanning. The security overview shows the enablement status of security features on each repository, as well as the number of alerts detected.

    In addition, the security overview lists all secret scanning alerts at the organization level. Similar views for Dependabot and code scanning alerts are coming in future releases. For more information, see "About the security overview."

    Screenshot of security overview

  • Dependency review (beta)

  • GitHub Advanced Security customers can now see a rich diff of the dependencies changed in a pull request. Dependency review provides an easy-to-understand view of dependency changes and their security impact in the "Files changed" tab of pull requests. It informs you of which dependencies were added, removed, or updated, along with vulnerability information for these dependencies. For more information, see "Reviewing dependency changes in a pull request."

  • GitHub Actions environments

  • Environments, environment protection rules, and environment secrets are now generally available for GitHub Actions on GitHub Enterprise Server. For more information, see "Environments."

    Environment protection rules

  • SSH authentication with security keys

  • SSH authentication using a FIDO2 security key is now supported when you add a sk-ecdsa-sha2-nistp256@openssh.com or sk-ssh-ed25519@openssh.com SSH key to your account. SSH security keys store secret key material on a separate hardware device that requires verification, such as a tap, to operate. For more information, see "Generating a new SSH key and adding it to the ssh-agent."

  • Dark and dark dimmed themes

  • Dark and dark dimmed themes are now available for the web UI. GitHub Enterprise Server will match your system preferences when you haven't set theme preferences in GitHub Enterprise Server. You can also choose which themes are active during the day and night. For more information, see "Managing your theme settings."

    Dark and dark dimmed themes

  • Approving unverified domains for email notifications

  • Domains that are not able to be verified can now be approved for email notification routing. Enterprise and organization owners will be able to approve domains and immediately augment their email notification restriction policy, allowing notifications to be sent to collaborators, consultants, acquisitions, or other partners. For more information, see "Verifying or approving a domain for your enterprise" and "Restricting email notifications for your enterprise."

  • Git Credential Manager (GCM) secure credential storage and multi-factor authentication support

  • Git Credential Manager (GCM) versions 2.0.452 and later now provide security-hardened credential storage and multi-factor authentication support for GitHub Enterprise Server.

    GCM with support for GitHub Enterprise Server is included with Git for Windows versions 2.32 and later. GCM is not included with Git for macOS or Linux, but can be installed separately. For more information, see the latest release and installation instructions in the GitCredentialManager/git-credential-manager repository.

    Changes

    Administration Changes

  • A 'User Agent Referrer Policy' setting has been added to the enterprise settings. This allows an admin to set a stricter Referrer-Policy to hide the hostname of a GitHub Enterprise Server installation from external sites. The setting is disabled by default and is tracked by audit log events for staff and enterprise owners when enabled or disabled. For more information, see "Configuring Referrer Policy for your enterprise."

  • The MySQL health check was changed to use mysqladmin ping instead of TCP checks, which removes some unnecessary noise in the MySQL error log. Also, Orchestrator failover checks were improved to prevent unnecessary MySQL failovers when applying cluster config changes.

  • The Resque service, which supports background job processing, has been replaced with Aqueduct Lite. This change makes the job system easier to manage and should not affect the user experience. For the new administration and debugging commands for Aqueduct, see "Command-line utilities."

  • Token Changes

  • The format of authentication tokens for GitHub Enterprise Server has changed. The change affects the format of personal access tokens and access tokens for OAuth App, as well as user-to-server, server-to-server, and refresh tokens for GitHub Apps.

    The different token types now have unique identifiable prefixes, which allows for secret scanning to detect the tokens so that you can mitigate the impact of someone accidentally committing a token to a repository. GitHub recommends updating existing tokens as soon as possible. For more information, see "About authentication to GitHub" and "About secret scanning."

  • Repositories changes

  • Repositories on user profiles and organization profiles now support sorting by star count.

  • When viewing the commit history of a single file, you can now click to view that file at the selected point in history.

  • When a submodule is defined with a relative path in GitHub Enterprise Serverインスタンス, the submodule is now clickable in the web UI. Clicking the submodule in the web UI will take you to the linked repository. Previously, only submodules with absolute URLs were clickable. This is supported for relative paths for repositories with the same owner that follow the pattern ../REPOSITORY or relative paths for repositories with a different owner that follow the pattern ../OWNER/REPOSITORY. For more information about working with submodules, see Working with submodules on GitHub ブログ.

  • The web UI can now be used to synchronize an out-of-date branch of a fork with the fork's upstream branch. If there are no merge conflicts between the branches, the branch is updated either by fast-forwarding or by merging from upstream. If there are conflicts, you will be prompted to create a pull request to resolve the conflicts. For more information, see "Syncing a fork."

  • Markdown changes

  • The markdown editor used when creating or editing a release in a repository now has a text-editing toolbar. For more information, see "Managing releases in a repository."

  • Uploading video files is now supported everywhere you write Markdown on GitHub Enterprise Server. Share demos, reproduction steps, and more in your issue and pull request comments, as well as in Markdown files within repositories, such as READMEs. For more information, see "Attaching files."

  • Markdown files will now automatically generate a table of contents in the header when there are 2 or more headings. The table of contents is interactive and links to the selected section. All 6 Markdown heading levels are supported.

  • There is a new keyboard shortcut, cmd+e on macOS or ctrl+e on Windows, to insert codeblocks in Markdown files, issues, pull requests, and comments.

  • Appending ?plain=1 to the URL for any Markdown file will now display the file without rendering and with line numbers. The plain view can be used to link other users to specific lines. For example, appending ?plain=1#L52 will highlight line 52 of a plain text Markdown file. For more information, "Creating a permanent link to a code snippet."

  • Issues and pull requests changes

  • With the latest version of Octicons, the states of issues and pull requests are now more visually distinct so you can scan their status more easily. For more information, see GitHub ブログ.

  • A new "Require conversation resolution before merging" branch protection rule and "Conversations" menu is now available. Easily discover your pull request comments from the "Files changed" tab, and require that all your pull request conversations are resolved before merging. For more information, see "About pull request reviews" and "About protected branches."

  • To prevent the merge of unexpected changes after auto-merge is enabled for a pull request, auto-merge is now disabled automatically when new changes are pushed by a user without write access to the repository. Users without write access can still update the pull request with changes from the base branch when auto-merge is enabled. To prevent a malicious user from using a merge conflict to introduce unexpected changes to the pull request, auto-merge for the pull request is disabled if the update causes a merge conflict. For more information about auto-merge, see "Automatically merging a pull request."

  • People with maintain permissions can now manage the repository-level "Allow auto-merge" setting. This setting, which is off by default, controls whether auto-merge is available on pull requests in the repository. Previously, only people with admin permissions could manage this setting. Additionally, this setting can now by controlled using the "Create a repository" and "Update a repository" REST APIs. For more information, see "Managing auto-merge for pull requests in your repository."

  • The assignees selection for issues and pull requests now supports type ahead searching so you can find users in your organization faster. Additionally, search result rankings have been updated to prefer matches at the start of a person's username or profile name.

  • When a review is requested from a team of more than 100 people, developers are now shown a confirmation dialog box in order to prevent unnecessary notifications for large teams.

  • Back-tick code blocks are now supported in issue titles, pull request titles, and in any place issue and pull request titles are referenced in GitHub Enterprise Server.

  • Events for pull requests and pull request reviews are now included in the audit log for both enterprises and organizations. These events help admins better monitor pull request activity and help ensure security and compliance requirements are being met. Events can be viewed from the web UI, exported as CSV or JSON, or accessed via REST API. You can also search the audit log for specific pull request events. For more information, see "Reviewing the audit log for your organization."

  • Branches changes

  • The default branch name for new repositories is now main. Existing repositories are not impacted by this change. If users, organization owners, or enterprise owners have previously specified a default branch for new repositories, they are also not impacted.

    If you want to set a different default branch name, you can do so in the user, organization, or enterprise settings.

  • Branches, including the default branch, can now be renamed using the the GitHub Enterprise Server web UI. When a branch is renamed, any open pull requests and draft releases targeting the renamed branch will be retargeted automatically, and branch protection rules that explicitly reference the renamed branch will be updated.

    Admin permissions are required to rename the default branch, but write permissions are sufficient to rename other branches.

    To help make the change as seamless as possible for users:

    • A notice is shown to contributors, maintainers, and admins on the repository homepage with instructions for updating their local repository.
    • Web requests to the old branch will be redirected.
    • A "moved permanently" HTTP response will be returned to REST API calls.
    • An informational message is displayed to Git command line users that push to the old branch.

    For more information, see "Renaming a branch."

  • GitHub Actions changes

  • GitHub Actions now lets you control the permissions granted to the GITHUB_TOKEN secret. The GITHUB_TOKEN is an automatically-generated secret that lets you make authenticated calls to the API for GitHub Enterprise Server in your workflow runs. GitHub Actions generates a new token for each job and expires the token when a job completes. The token usually has write permissions to a number of API endpoints, except in the case of pull requests from forks, which are always read. These new settings allow you to follow a principle of least privilege in your workflows. For more information, see "Authentication in a workflow."

  • GitHub CLI 1.9 and later allows you to work with GitHub Actions in your terminal. For more information, see the GitHub changelog.

  • The audit log now includes events associated with GitHub Actions workflow runs. This data provides administrators with a greatly expanded data set for security and compliance audits. For more information, see "Reviewing the audit log for your organization."

  • GitHub Enterprise Server 3.2 contains performance improvements for job concurrency with GitHub Actions. For more information about the new performance targets for a range of CPU and memory configurations, see "Getting started with GitHub Actions for GitHub Enterprise Server."

    • The "Maximum Concurrency" values were modified to reflect our most up to date performance testing. [Updated: 2021-12-07]
  • The GitHub Actions Runner application in GitHub Enterprise Server 3.2 has been updated to v2.279.0.

  • GitHub Packages changes

  • Any package or package version for GitHub Packages can now be deleted from GitHub Enterprise Server's web UI. You can also undo the deletion of any package or package version within 30 days. For more information, see "Deleting and restoring a package".

  • Dependabot and Dependency graph changes

  • The dependency graph can now be enabled using the Management Console, rather than needing to run a command in the administrative shell. For more information, see "Enabling alerts for vulnerable dependencies GitHub Enterprise Server."

  • Notifications for multiple Dependabotアラート are now grouped together if they're discovered at the same time. This significantly reduces the volume of Dependabot alert notifications that users receive. For more information, see the GitHub changelog.

  • Dependency graph and Dependabotアラート now support Go modules. GitHub Enterprise Server analyzes a repository's go.mod files to understand the repository’s dependencies. Along with security advisories, the dependency graph provides the information needed to alert developers to vulnerable dependencies. For more information about enabling the dependency graph on private repositories, see "Securing your repository."

  • The default notification settings for security alerts have changed. Previously, if you had permission to view security alerts in a repository, you would receive notifications for that repository as long as your settings allowed for security alert notifications. Now, you must opt in to security alert notifications by watching the repository. You will be notified if you select All Activity or configure Custom to include Security alerts. All existing repositories will be automatically migrated to these new settings and you will continue to receive notifications; however, any new repositories will require opting-in by watching the repository. For more information see "Configuring notifications for Dependabotアラート" and "Managing alerts from secret scanning."

  • Code scanning and secret scanning changes

  • Code scanning with CodeQL now generates diagnostic information for all supported languages. This helps check the state of the created database to understand the status and quality of performed analysis. The diagnostic information is available starting in version 2.5.6 of the CodeQL CLI. You can see the detailed diagnostic information in the GitHub Actions logs for CodeQL. For more information, see "Viewing code scanning logs."

  • Code scanning with CodeQL CLI now supports analyzing several languages during a single build. This makes it easier to run code analysis to use CI/CD systems other than GitHub Actions. The new mode of the codeql database create command is available starting version 2.5.6 of the CodeQL CLI. For more information about setting this up, see "Installing CodeQL CLI in your CI system."

  • Code scanning alerts from all enabled tools are now shown in one consolidated list, so that you can easily prioritize across all alerts. You can view alerts from a specific tool by using the "Tool" filter, and the "Rule" and "Tag" filters will dynamically update based on your "Tool" selection.

  • Code scanning with CodeQL now includes beta support for analyzing C++20 code. This is only available when building codebases with GCC on Linux. C++20 modules are not supported yet.

  • The depth of CodeQL's analysis has been improved by adding support for more libraries and frameworks and increasing the coverage of our existing library and framework models for several languages (C++, JavaScript, Python, and Java). As a result, CodeQL can now detect even more potential sources of untrusted user data, review the steps through which that data flows, and identify potentially dangerous sinks in which this data could end up. This results in an overall improvement of the quality of the code scanning alerts. For more information, see the GitHub changelog.

  • Code scanning now shows security-severity levels for CodeQL security alerts. You can configure which security-severity levels will cause a check failure for a pull request. The severity level of security alerts can be critical, high, medium, or low. By default, any code scanning alerts with a security-severity of critical or high will cause a pull request check failure.

    Additionally, you can now also configure which severity levels will cause a pull request check to fail for non-security alerts. You can configure this behavior at the repository level, and define whether alerts with the severity error, warning, or note will cause a pull request check to fail. By default, non-security code scanning alerts with a severity of error will cause a pull request check failure.

    For more information see "Defining which alert severity levels cause pull request check failure."

    List of code scanning alerts with security levels

  • Improvements to the branch filter for code scanning alerts make it clearer which code scanning alerts are being displayed on the alerts page. By default, code scanning alerts are filtered to show alerts for the default branch of the repository only. You can use the branch filter to display the alerts on any of the non-default branches. Any branch filter that has been applied is shown in the search bar.

    The search syntax has also been simplified to branch:<branch name>. This syntax can be used multiple times in the search bar to filter on multiple branches. The previous syntax, ref:refs/heads/<branch name>, is still supported, so any saved URLs will continue to work.

  • Free text search is now available for code scanning alerts. You can search code scanning results to quickly find specific alerts without having to know exact search terms. The search is applied across the alert's name, description, and help text. The syntax is:

    • A single word returns all matches.
    • Multiple search words returns matches to either word.
    • Words in double quotes returns exact matches.
    • The keyword 'AND' returns matches to multiple words.
  • Secret scanning added patterns for 23 new service providers. For the updated list of supported secrets, see "About secret scanning."

  • API Changes

  • Pagination support has been added to the Repositories REST API's "compare two commits" endpoint, which returns a list of commits reachable from one commit or branch, but unreachable from another. The API can also now return the results for comparisons over 250 commits. For more information, see the "Commits" REST API documentation and "Traversing with pagination."

  • The REST API can now be used to programmatically resend or check the status of webhooks. For more information, see "Repositories," "Organizations," and "Apps" in the REST API documentation.

  • Improvements have been made to the code scanning and GitHub Advanced Security APIs:

    • The code scanning API now returns the CodeQL query version used for an analysis. This can be used to reproduce results or confirm that an analysis used the latest query. For more information, see "Code scanning" in the REST API documentation.
    • Admin users can now use the REST API to enable or disable GitHub Advanced Security for repositories, using the security_and_analysis object on repos/{org}/{repo}. In addition, admin users can check whether Advanced Security is currently enabled for a repository by using a GET /repos/{owner}/{repo} request. These changes help you manage Advanced Security repository access at scale. For more information, see "Repositories" in the REST API documentation.

    Known issues

  • On a freshly set up GitHub Enterprise Server without any users, an attacker could create the first admin user.

  • Custom firewall rules are removed during the upgrade process.

  • Git LFS tracked files uploaded through the web interface are incorrectly added directly to the repository.

  • Issues cannot be closed if they contain a permalink to a blob in the same repository, where the blob's file path is longer than 255 characters.

  • When "Users can search GitHub.com" is enabled with GitHub Connect, issues in private and internal repositories are not included in GitHub.com search results.

  • The GitHub Packages npm registry no longer returns a time value in metadata responses. This was done to allow for substantial performance improvements. We continue to have all the data necessary to return a time value as part of the metadata response and will resume returning this value in the future once we have solved the existing performance issues.

  • Resource limits that are specific to processing pre-receive hooks may cause some pre-receive hooks to fail.