Enterprise Server 3.4 release notes

高: SSH 証明機関経由で認証することで不正なアクターが他のユーザーのシークレット gist を変更できるという不適切な認証の脆弱性に対処しました。 この脆弱性は  GitHub バグ報奨金プログラム を通じて報告され、 CVE-2023-23761 が割り当てられています。 [更新日: 2023 年 4 月 7 日]

中: 誤った差分を表示することでコミットを密輸できるという誤った比較の脆弱性に対処しまし。 この脆弱性は  GitHub バグ報奨金プログラム を通じて報告され、 CVE-2023-23762 が割り当てられています。 [更新日: 2023 年 4 月 7 日]

管理コンソールのモニター ダッシュボードでは、git fetch catching コマンドで取得された Cached Requests と Served Requests グラフに、インスタンスのメトリックが表示されませんでした。

サイト管理者が ghe-config app.github.rate-limiting-exempt-users "github-actions[bot]" コマンドを使用して @github-actions[bot] ユーザーをレート制限から除外した後、ghe-config-check を実行すると、Validation is-valid-characterset failed 警告が表示されました。

GitHub Actions (actions) と Microsoft SQL (mssql) が、インスタンスのモニター ダッシュボード内のプロセス リストに表示されませんでした。

高可用性構成のインスタンスで、管理者が ghe-repl-setup を実行した直後 (ただし、ghe-repl-start の前) に ghe-repl-teardown を使用してレプリカ ノードからレプリケーションを破棄した場合、スクリプトが cannot launch /usr/local/bin/ghe-single-config-apply - run is locked であることを示すエラーが示されました。 ghe-repl-teardown では、情報アラートが表示され、破棄が続けられるようになりました。

クラスター構成のインスタンスで、サイト管理者が ghe-maintenance -s を使用してメンテナンス モードを設定するときに、ユーティリティによる /data/user/common/cluster.conf へのアクセスの試行時に Permission denied エラーが表示されました。

サイト管理者が GitHub Enterprise Server へのデータの移行に ghe-migrator を使用したときに、場合によっては、チームのインポート後に入れ子になったチームのリレーションシップが保持されませんでした。

GitHub Enterprise Server により、collectd で処理できないディストリビューション メトリックが発行されていました。 そのメトリックには、pre_receive.lfsintegrity.dist.referenced_oids、pre_receive.lfsintegrity.dist.unknown_oids、git.hooks.runtime が含まれていました。

Enterprise 所有者が Dependabot の更新プログラムを有効にした後、インスタンスによる更新プログラムの初期セットの作成がより迅速に行われるようになります。

クラスター構成のインスタンスで、サイト管理者が ghe-maintenance -s を使用して単一のクラスター ノードにメンテナンス モードを設定すると、ユーティリティによって、すべてのクラスター ノードでメンテナンス モードを設定するために ghe-cluster-maintenance -s を使用するように管理者に警告されます。 詳しくは、「メンテナンスモードの有効化とスケジューリング」を参照してください。

サイト管理者が GitHub Enterprise Server の送信 Web プロキシ サーバーを構成するときに、プロキシ構成から除外されたトップレベル ドメイン (TLD) がインスタンスで検証されるようになりました。 既定では、IANA で指定されるパブリック TLD を除外できます。 サイト管理者は、ghe-config を使用して除外する未登録の TLD のリストを指定できます。 どのパブリック TLD でも . プレフィックスは必須です。 たとえば、.example.com は有効ですが、example.com は無効です。 詳しくは、「アウトバウンドの Web プロキシ サーバーの設定」を参照してください。

ghe-saml-mapping-csv -d からの出力の既定のパスは、/tmp ではなく /data/user/tmp です。 詳しくは、「コマンド ライン ユーティリティ」を参照してください。

高: GitHub Pages のサイトをビルドするときにリモート コードの実行を許可するパス トラバーサルの脆弱性が、GitHub Enterprise Server で特定されました。 この脆弱性を悪用するために、攻撃者は GitHub Enterprise Server インスタンス上に GitHub Pages サイトを作成してビルドするアクセス許可を必要とします。 この脆弱性は GitHub バグ報奨金プログラムを通じて報告され、CVE-2023-23760 が割り当てられています。 [更新日: 2023 年 3 月 10 日]

ユーザー アカウントにログインしているデバイスで開いているセッションの一覧を表示すると、GitHub Enterprise Server Web UI に正しくない場所が表示される可能性があります。

まれに、Elasticsearch のプライマリ シャードがレプリカ ノードにある場合、ghe-repl-stop コマンドは ERROR: Running migrations で失敗します。

高: 2.39.2 からの修正 (CVE-2023-22490 と CVE-2023-23946 に対処する) を含むように Git を更新しました。

パッケージは最新のセキュリティ バージョンに更新されました。

中: GitHub Enterprise Server でコード インジェクションの脆弱性が特定されました。この脆弱性により、null バイトの不適切なサニタイズが原因で、Windows ベースのランナーを使う場合に GitHub Actions の 1 つの環境変数値から任意の環境変数を設定できます。 攻撃者がこの脆弱性を悪用するには、GitHub Actions で使う環境変数の値を制御するための既存のアクセス許可が必要です。 この脆弱性は、GitHub バグ報奨金プログラムを通じて報告され、CVE-2023-22381 が割り当てられています。

パッケージは最新のセキュリティ バージョンに更新されました。

構成の実行の検証フェーズ中に、Notebook と Viewscreen のサービスで No such object error が発生している可能性があります。

Let's Encrypt で TLS 証明書の自動管理を有効にすると、エラー The certificate is not signed by a trusted certificate authority (CA) or the certificate chain in missing intermediate CA signing certificates でプロセスが失敗する可能性があります。

差分生成中にタイムアウトが発生した場合 (たとえば、差分生成に時間がかかりすぎているというエラーがコミットで表示された場合など)、push Webhook イベントは空の差分情報を配信します。 以前は、push Webhook イベントの配信は失敗していました。

高: 2.39.1 からの修正 (CVE-2022-41903 と CVE-2022-23521 に対処します) を含むように Git を更新しました。

サポート バンドルと構成ログで追加のシークレットをサニタイズします。

CodeQL アクションの依存関係が最新のセキュリティ バージョンに更新されました。

パッケージは最新のセキュリティ バージョンに更新されました。

github (メタデータから名前が変更されました)、gitauth、unicorn コンテナー サービス用の Active workers と Queued requests のメトリックが、collectd から正しく読み込まれず、管理コンソールに表示されませんでした。

移行用にロックされたリポジトリを使用すると、Web UI でファイルを編集できます。

git-janitor コマンドが古い multi-pack-index.lock ファイルを修正できなかったため、リポジトリのメンテナンスに失敗しました。

ghe-support-bundle と ghe-cluster-support-bundle コマンドは、時間制約付きサポート バンドルを生成するための -p/--period フラグが含まれるように更新されました。 期間は、日数と時間単位で指定できます (例: -p '2 hours'、-p '1 day'、-p '2 days 5 hours')。

ghe-config-apply で開始された構成実行のパフォーマンスが向上しました。

新しいルート パーティションを使用してインスタンスをアップグレードする場合、-t/--target オプションを指定して ghe-upgrade コマンドを実行すると、ターゲット パーティションに対して最小ディスク ストレージ サイズのプレフライト チェックが確実に実行されます。

アカウント データのエクスポート、リポジトリのバックアップ、または移行の実行時に、リポジトリ アーカイブへのリンクは 1 時間後に期限が切れるようになりました。 以前は、アーカイブ リンクは 5 分後に期限切れになっていました。

高: GitHub Pages のサイトをビルドするときにリモート コードの実行を許可するパス トラバーサルの脆弱性が、GitHub Enterprise Server で特定されました。 攻撃者がこの脆弱性を悪用するには、インスタンス上に GitHub Pages サイトを作成してビルドするためのアクセス許可が必要です。 この脆弱性は、GitHub バグ報奨金プログラムを通じて報告され、CVE-2022-46256 が割り当てられました。

高: 不正な承認の脆弱性により、スコープ付きユーザーからサーバーへのトークンが、リポジトリの完全な管理者アクセスにエスカレートするおそれがありました。 攻撃者が悪意のある GitHub アプリをインストールするには、管理者アクセス権を持つアカウントが必要でした。 GitHub Enterprise Server 3.7.0 より前のすべてのバージョンが、この脆弱性の影響を受けました。 この脆弱性は、GitHub バグ報奨金プログラムを通じて報告され、CVE-2022-23741 が割り当てられました。

中: GitHub Enterprise Server で情報漏えいの脆弱性が特定されました。この脆弱性により、プライベート リポジトリにアクセスできないユーザーがこのリポジトリを API 経由で GitHub Actions ランナー グループに追加することができ、その結果、そのリポジトリの名前が UI に表示されます。 攻撃者がこの脆弱性を悪用するには、GHES インスタンスへのアクセス権と GitHub Actions ランナー グループを変更するためのアクセス許可を得る必要があることに加え、プライベート リポジトリの難読化された ID を解読する必要があります。 この脆弱性は、GitHub バグ報奨金プログラムを通じて報告され、CVE-2022-46257 が割り当てられています。

サイト管理者が管理シェル (SSH) を使ってインスタンスのプライマリ ノードから ghe-repl-sync-ca-certificates コマンドを実行すると、コマンドはインスタンスのプライマリ ノードから単一のレプリカ ノードにのみ CA 証明書をレプリケートしました。 このコマンドでは、使用可能なすべてのレプリカ ノードに証明書がレプリケートされませんでした。

無効な容量値を持つ OVA ファイルが生成されたため、VMware ESXi ハイパーバイザーへの GitHub Enterprise Server のインストールが失敗しました。

ユーザーが API を使って操作を実行すると、グローバルに無効になっている場合でも、GitHub Enterprise Server によってリポジトリ サイズクォータが適用されました。

member Webhook イベントに、changes フィールドの一部として permission フィールドに対する from と to フィールドの値が含まれませんでした。

ユーザーのアカウントがインスタンスから削除された後、ユーザーがコメントでアップロードした画像添付ファイルが Web インターフェイスに表示されなくなりました。

デバッグ レベルのメッセージがシステム ログに表示され、インスタンスのルート ストレージ ボリュームの領域が急速に消費されることがありました。

中: Markdown REST API への並列要求によって無制限のリソース枯渇が発生するおそれがあるシナリオに対処するために CommonMarker を更新しました。 この脆弱性には、CVE-2022-39209 が割り当てられました。

中: GitHub Apps からスコープ指定されたユーザーからサーバーへのトークンは、リポジトリ以外のリソースにアクセスするときに GraphQL API 要求の認可チェックをバイパスする可能性があります。 この脆弱性は、GitHub バグ報奨金プログラムを通じて報告され、CVE-2022-23739 が割り当てられました。

中: pull request プレビュー リンクにより URL が適切にサニタイズされなかったため、悪意のあるユーザーがインスタンスの Web UI に危険なリンクを埋め込むことができるようになっていました。 この脆弱性は、GitHub バグ報奨金プログラムを通じて報告されました。

中: GitHub Enterprise Server で不正な認可の脆弱性が特定されました。これにより、読み取りおよび書き込みアクセス権を持つリポジトリ スコープのトークンが、ワークフロー スコープなしで GitHub Actions ワークフロー ファイルを変更することができました。 「リポジトリコンテンツ」はワークフロー スコープを適用する必要があります。 この脆弱性は、GitHub バグ報奨金プログラムを通じて報告され、CVE-2022-46258 が割り当てられました。

インスタンスの S3 BLOB ストレージを使って GitHub Actions を構成した場合、削除済みまたは期限切れのワークフローの実行によるログや成果物などのコンテンツが BLOB ストレージに無期限に残っていました。 このようなコンテンツは、次回の定期的なバックグラウンド クリーンアップ ジョブの実行時に、インスタンスによって自動削除されるようになります。

IP 例外リストを使用したメンテナンス モードの設定が、アップグレード後に保持されませんでした。

GitHub Pages のビルドが、高可用性用に構成された AWS のインスタンスでタイムアウトする場合がありました。

Dependabot とアラート ダイジェスト メールを構成した後、インスタンスによって一時停止されているユーザーにダイジェスト メールが送信されます。

ユーザーが複数のリポジトリに対して pre-receive フックを構成した場合、インスタンスの Hooks ページにフックの正しい状態が表示されない場合がありました。

予期しない状態チェックにより、ユーザーが pull request をマージできない場合がありました。

高可用性向けに構成されたインスタンスで GitHub Enterprise Importer の移行を実行した後、移行ストレージ資産のレプリケーションが追いつかない場合がありました。

ゾンビ プロセスが gitrpcd コンテナーに蓄積されなくなりました。

高: 管理コンソールの依存関係を最新のパッチ バージョンに更新しました。これは、CVE-2022-30123 や CVE-2022-29181 などのセキュリティ脆弱性に対処します。

高: 不正なアクターがパブリック リポジトリを介してプライベート リポジトリ ファイルにアクセスするのを許してしまう不適切なキャッシュ キーの脆弱性に対処するためのチェックを追加しました。 この脆弱性には、CVE-2022-23738 が割り当てられました。

中: Markdown REST API への並列要求によって無制限のリソース枯渇が発生する可能性があるシナリオに対処するために 、CommonMarker を更新しました。 この脆弱性には、CVE-2022-39209 が割り当てられました。

中: CVE-2021-32672 と CVE-2021-32762 に対処するため、Redis を 5.0.14 に更新しました。

中: GitHub Actions ジョブの環境変数が変数のコンテキストをエスケープするのを許すバグを修正し、docker コマンドの直接呼び出しを変更するため、GitHub Actions ランナーを更新しました。 詳しくは、Actions ランナーのセキュリティ アドバイザリに関する記事をご覧ください。

中: 不適切な特権を持つユーザーが API を使ってページを作成または削除するのを許す不適切な特権管理の脆弱性が GitHub Enterprise Server で見つかりました。 この脆弱性を悪用するには、攻撃者は書き込みアクセス許可を持つ組織のリポジトリに追加される必要があります。 この脆弱性は、GitHub バグ報奨金プログラムを通じて報告され、CVE-2022-23737 が割り当てられました。

低: CSRF の脆弱性により、インスタンスの site/toggle_site_admin_and_employee_status エンドポイントに対する GET 要求によって、ユーザーのサイト管理者の状態が知らないうちに切り替えられる可能性がありました。

パッケージは最新のセキュリティ バージョンに更新されました。

サイト管理者が構成の実行 (GitHub Actions の無効化など) をトリガーする変更を行った後、サービスの検証がメッセージ WARNING: Validation encountered a problem で失敗することがありました。

サイト管理者が、JavaScript のファイルやイメージなどの Web インターフェイス アセットへの変更を含むホットパッチをインストールした後、インスタンスで新しいアセットが提供されませんでした。

Git を使用して名前が変更されたリポジトリにユーザーがアクセスすると、Git 出力のホスト名で、インスタンスのホスト名ではなく、GitHub.com が誤って示されました。

削除された資産と、リポジトリ内で消去されるようにスケジュールされた資産 (LFS ファイルなど) のクリーンアップに時間がかかりすぎました。

ユーザーがユーザー アカウントに GitHub アプリをインストールした後、そのアカウントを Organization に変換した場合、アプリに Organization のアクセス許可が付与されませんでした。

サイト管理者がアップグレードを正常に完了できるよう、インスタンスによってプレフライト チェックが実行されて、仮想マシンが最小ハードウェア要件を満たしていることが確認されます。 このチェックでは、Elasticsearch の正常性も検証されます。 GitHub Enterprise Server の CPU、メモリ、ストレージの現在の要件は、「GitHub Enterprise Server インスタンスをセットアップする」の各記事の「最小要件」セクションで確認できます。

移行用のリポジトリ アーカイブに is_archived フィールドが含まれるようになりました。

高: GitHub アプリは、スコープを指定されたユーザーからサーバーへのトークンを使って、ユーザー認可ロジックをバイパスし、特権をエスカレートできました。

中: GitHub アプリのアクセス可能なファイルの一覧で、Unicode の右から左への上書き文字を使うと、アプリがアクセスできる追加のファイルが隠される可能性がありました。

低: ブランチ保護をバイパスする機能をユーザーに許可しても、署名検証の要件のバイパスがユーザーに許可されることはなくなりました。

パッケージは最新のセキュリティ バージョンに更新されました。

証明書のサブジェクト文字列に UTF-8 文字が含まれている場合、TLS 証明書のインストールが失敗しました。

管理者が ghe-config を使って retry-limit または retry-sleep-duration を手動で設定した場合、構成の実行が失敗する可能性がありました。

場合によっては、管理コンソールのモニター ダッシュボードが正しく読み込まれませんでした。

管理コンソール モニター グラフを PNG イメージとしてエクスポートするための機能しないリンクを削除しました。

ghe-find-insecure-git-operations コマンドが、各呼び出しの後で、安全ではないすべての Git 操作を返しませんでした。

まれに、GitHub Enterprise Server 3.3 から 3.4 にアップグレードすると、データの格納方法が誤って変更され、その後のアップグレードの間にエラーが発生しました。 3.3 からこのリリースに直接アップグレードすると、エラーは発生しません。

ghe-support-upload を使ってサポート バンドルを GitHub Enterprise Support に送信するとき、-t オプションを指定しても、アップロードされるバンドルが指定したチケットと正常に関連付けられませんでした。

インスタンスの Enterprise アカウントのセキュリティ設定に戻るリンクで、正しくないビューが表示される可能性がありました。

SSH 経由で Git をクローンまたはフェッチすると、サイズが 1 GB を超える転送でデータが破損する可能性がありました。

ユーザーが Web インターフェイスからパッケージを削除または復元した後、パッケージの数が正しくレンダリングされない場合がありました。

Dependabot とアラート ダイジェスト メールを正しく構成した後、インスタンスでダイジェスト メールが送信されませんでした。

GitHub Enterprise Server 3.4 にアップグレードした後、リリースがリポジトリからなくなっているように見えました。 これは、必要な Elasticsearch インデックスの移行が正常に完了していない場合に発生しました。 リリース UI で、Elasticsearch インデックスの移行が完了するのを待っているかどうかと、状態を確認してすぐに移行を完了する方法に関するドキュメントへのリンクが示されるようになりました。

2048 個より多くのコミットを含むプッシュをリポジトリが受け取った場合、またはリポジトリの既定のブランチが変更された場合、リポジトリ内の手動で無効にした GitHub Actions ワークフローが再び有効にされていました。

ブランチの保護を有効にした場合、GitHub Actions ワークフローの実行の GITHUB_REF_PROTECTED 環境変数と github.ref_protected コンテキストが、false と正しく設定されませんでした。

GitHub パッケージの AWS S3 URL として VPC エンドポイントの URL を使うと、パッケージの発行とインストールが失敗しました。

組織にメンバーを追加すると、間違った SAML SSO 試用版の招待が表示されました。

一時的なアクセスのためにリポジトリのロックを解除した後、サイト管理者はリポジトリのセキュリティ製品の設定を管理できませんでした。

管理コンソールと /home/admin/.ssh/authorized_keys ファイルの両方に、重複する管理 SSH キーが表示されることがありました。

http(s)://HOSTNAME/stafftools/users/USERNAME/admin の個々のユーザーのサイト管理ページに、GitHub Enterprise Server を対象としていない機能が含まれていました。

ghe-cluster-config-apply を実行すると、空の構成をクラスターの既存のノードにレプリケートされることがありました。

ghe-config-apply で開始された構成の実行が完了しなかったり、Container count mismatch エラーが返されることがありました。

GitHub Enterprise Server インスタンス上の自己署名 TLS 証明書を更新した後、Web インターフェイスの一部のページの UI 要素が表示されませんでした。

場合によっては、スレッドセーフではないにも関わらず同時に使われたライブラリのため、バックグラウンド タスクが停止することがありました。

並列化されたログ サニタイズの結果、サポート バンドルの生成が速くなっています。 サポート バンドルについて詳しくは、「GitHub Support へのデータの提供」をご覧ください。

organization または org ルートを含む API が、Organization のスラッグまたは ID を受け取るようになりました。 以前の API はスラッグのみを受け取っており、そのために GitHub Advanced Security エンドポイントの Link ヘッダーにアクセスできませんでした。 詳細については、REST API のドキュメントの「Organization」を参照してください。

Enterprise の監査ログに含まれるユーザー生成イベントが増えました (project.create など)。 REST API からも、追加のユーザー生成イベントが返されます (repo.create など)。 詳細については、「企業の監査ログにアクセスする」および「エンタープライズの監査ログ API を使う」を参照してください。

重大: GitHub Enterprise Server の Elasticsearch コンテナーで使われていたバージョンの OpenJDK 8 は、悪意のある XSLT スタイルシートを処理するときの整数切り捨ての問題に脆弱でした。 この脆弱性は CVE-2022-34169 として追跡されます。

高: ユーザー アカウントが Organization アカウントに変換された後、ユーザー アカウントに前にインストールされていたアプリに、スコープ付きのアクセス トークンで Organization にアクセスするためのアクセス許可が自動的に付与されました。 この脆弱性は、GitHub Bug Bounty プログラムを通じて報告されました。

r4.4xlarge インスタンスの種類を使用する AWS 上の GitHub Enterprise Server インスタンスが、起動に失敗することがありました。

GitHub Advanced Security のコミッター数を計算するとき、個別のリポジトリを指定できませんでした。 詳しくは、「サイトアドミンのダッシュボード」を参照してください。

カスタム休眠しきい値がインスタンスに設定されている場合、すべての休眠ユーザーの一時停止で、しきい値が確実に適用されませんでした。 休眠について詳しくは、「休眠ユーザの管理」をご覧ください。

pre_receive_hook.rejected_push イベントが Enterprise の監査ログに表示されませんでした。

リポジトリの移行アーカイブと、ユーザー アカウントのアーカイブ エクスポートの両方に、リリースの反応が含まれます。

中: サーバー側リクエスト フォージェリ (SSRF) によって Subversion (SVN) ブリッジを強制し、任意のデータを Memcached に挿入することによりリモート コードを実行する可能性のある攻撃を防ぎます。

中: 攻撃者が GitHub Enterprise Server Web インターフェイス内のドロップダウン UI 要素でクロスサイト スクリプト (XSS) の脆弱性を悪用することにより、JavaScript のコードを実行するのを防ぎます。

Grafana のバージョン 7.5.16 への更新により、CVE-2020-13379 や CVE-2022-21702 などのさまざまなセキュリティの脆弱性に対処します。

パッケージは最新のセキュリティ バージョンに更新されました。

中: GitHub Enterprise Server で、任意の属性のインジェクションを可能にする格納された XSS の脆弱性が見つかりました。 このインジェクションは、Github の Content Security Policy (CSP) によってブロックされました。 この脆弱性は、GitHub バグ報奨金プログラムを通じて報告され、CVE-2022-23733 が割り当てられました。 [更新日: 2022 年 7 月 31 日]

中: 信頼されていないデータの逆シリアル化に関連する脆弱性が GitHub Enterprise Server で特定され、Subversion (SVN) ブリッジでリモート コードが実行される可能性があります。 この脆弱性を悪用するには、攻撃者が逆シリアル化されるデータを攻撃者が制御できるように、サーバー側リクエスト フォージェリ (SSRF) を介してアクセスする必要があります。 この脆弱性は、GitHub バグ報奨金プログラムを通じて報告され、CVE-2022-23734 が割り当てられました。

collectd デーモンのメモリ消費が多すぎることがありました。

場合によっては、ローテーションされたログ ファイルのバックアップが蓄積し、ストレージを消費し過ぎることがありました。

新しい機能リリースにアップグレードしてから構成を実行した後、インデックスの再構築の間に Elasticsearch が過剰な例外をログすることがありました。

複数の承認レビューを必要とする保護されたブランチで、pull request がマージされる承認レビューが必要な数より少ない場合がありました。

LDAP 認証を使うインスタンスで、ユーザー名とパスワード両方のテキスト フィールドが表示されていると、sudo モードの認証プロンプトにより、既定でカーソルがパスワード フィールド内に誤って配置されました。

スケジュールされた GitHub Actions ワークフローが無効になることがありました。

課金 API の「課金」エンドポイントが Link ヘッダーを返すことで、改ページに関する情報を提供します。

課金 API の「課金」エンドポイントがコミッター総数の正しい数値を返します。

インスタンスが回復モードで起動されるとき、ghe-set-password コマンド ラインユーティリティは必要なサービスを自動的に開始します。

aqueduct バックグラウンド プロセスのメトリックが Collectd 転送について収集され、管理コンソールに表示されます。

データベース移行と構成実行のログの場所 /data/user/common/ghe-config.log が、進行中の移行の詳細のページに表示されるようになりました。

中: GitHub Enterprise Server の URL に org クエリ文字列パラメーターを指定して、別の組織のアクティブなコミッターにアクセスできるようにする攻撃を防ぎます。

中: サーバー側セキュリティ フォージェリ (SSRF) 攻撃の可能性を防ぐため、github.company.com と github-company.com が内部サービスによって同じホスト名として評価されないようにします。

低: 外部ファイアウォール規則によって HTTP アクセスがブロックされている場合であっても、攻撃者は、HTTP 経由のパス トラバーサル攻撃で管理コンソールにアクセスできました。

パッケージは最新のセキュリティ バージョンに更新されました。

アクセス許可に制限があるため、成果物アーカイブ内のファイルを展開後に開くことができませんでした。

ghe-config-apply の実行中に、Redis のタイムアウトでデータベースの移行が停止しなくなりました。

バックグラウンド ジョブ プロセッサが部分的なシャットダウン状態でスタックし、結果として特定の種類のバックグラウンド ジョブ (Code Scanning など) がスタックしているように見えていました。

サイト管理者が Enterprise 所有者として自動的に追加されないことがありました。

レンダリングの issue が、リポジトリ内の Secret Scanning アラートをフィルター処理するドロップダウン リストに影響することがありました。

最初に有効にした後の Dependabot バージョン更新プログラムのパフォーマンスが向上しました。

GitHub Pages のビルドと同期のタイムアウトは、管理コンソールで構成できるようになりました。

特定のフィールド (名前など) の値が長すぎる場合、チェック実行またはチェック スイートを作成または更新すると、500 Internal Server Error が返されることがありました。

cache-server ノードのデプロイ時に、システム内のすべてのノードに対してデータセンター トポロジの記述 (--datacenter 引数の使用) が必須になりました。 データセンターのメンバーシップを "既定値" に設定したままにしておくと、複数のデータセンター間でワークロードが不適切に分散されるという状況は、この要件によって回避されます。

パッケージは最新のセキュリティ バージョンに更新されました。

GitHub Enterprise Server 構成ファイル内のホスト名を検証するための内部スクリプトは、ホスト名の文字列が "." (ピリオド文字) で始まっている場合、エラーを返しました。

プライマリ ノードのホスト名が 60 文字より長い HA 構成では、MySQL の構成が失敗しました。

GitHub Enterprise Server 3.4.1 以降で GitHub Actions が有効であり、TLS が無効な場合、構成の更新の適用に失敗しました。

--gateway 引数が ghe-setup-network コマンドに追加され、コマンド ラインを使ってネットワーク設定を構成するときに、ゲートウェイ アドレスを渡せるようになりました。

GitHub Advanced Security 課金 API エンドポイントが有効ではなく、アクセスできませんでした。

削除された画像添付ファイルは、404 Not Found エラーの代わりに 500 Internal Server Error を返します。

リポジトリ キャッシュ サーバーで構成された環境で ghe-repl-status コマンドを実行すると、gist がレプリケート不足であると誤って表示されました。

Commit API の "Get a commit" (コミットの取得) と "Compare two commits" (2 つのコミットの比較) エンドポイントを使い、エンコードされ、エスケープされた unicode 文字が差分のファイル パスに含まれている場合、500 エラーが返されました。

サイト管理者ダッシュボードで報告される "インスタンス全体の最大コミッター数" の計算が、正しくありませんでした。

GitHub Enterprise Server Backup Utilities を使って復元を実行するとき、リポジトリ レプリカのデータベース エントリが正しくないと、データベースが破損しました。

Secret Scanning アラートのアクティビティ タイムラインが表示されませんでした。

クラスター サポート バンドルを生成するときのメトリックの包含を最適化しました。

Elasticsearch が有効な黄色状態を報告する HA 構成では、前の修正で行われた変更により、ghe-repl-stop コマンドがブロックされ、レプリケーションを停止できませんでした。 サービスが通常状態または有効な黄色状態のときに、ghe-repo-stop --force を使うと、Elasticsearch が強制的に停止されるようになります。

中: nginx リゾルバーでセキュリティの問題が見つかりました。DNS サーバーからの UDP パケットを偽造できる攻撃者は、1 バイトのメモリを上書きして、ワーカー プロセスをクラッシュさせたり、損傷を与える可能性がある影響を及ぼすことができました。 この脆弱性には、CVE-2021-23017 が割り当てられました。

Git に対するセキュリティの適用に関するブログ投稿で発表された新しい脆弱性に対処するために、actions/checkout@v2 と actions/checkout@v3 アクションを更新しました。

パッケージは最新のセキュリティ バージョンに更新されました。

一部のクラスター トポロジでは、ghe-cluster-status コマンドを使うと、/tmp に空のディレクトリが残りました。

SNMP により、多数の Cannot statfs エラー メッセージが syslog に誤って記録されました。

カスタム パターンを追加し、UTF8 ではないテスト文字列を提供したとき、一致の強調表示が間違っていました。

ユーザー名にアンダースコア文字 (_) が含まれる LDAP ユーザーが、正常にログインできるようになりました。

SAML 認証で構成され、組み込みフォールバックが有効になっているインスタンスでは、組み込みユーザーが、ログアウトした後で生成されたページからサインインしようとすると、"ログイン" ループでスタックしていました。

ID プロバイダーとして Azure で SAML の暗号化されたアサーションを有効にした後、サインイン ページが 500 エラーで失敗しました。

文字キー ショートカットのユーザー設定が考慮されませんでした。

/stafftools/repositories/:owner/:repo/disk ページからの git fsck 出力を表示しようとすると、500 Internal Server Error で失敗します。

SAML で暗号化されたアサーションを使うと、一部のアサーションが SSH キーを検証済みとして正しくマークしませんでした。

issue コメントにアップロードされたビデオが、適切にレンダリングされませんでした。

GitHub Enterprise Importer を使ってリポジトリをインポートすると、誤って構成されたプロジェクト タイムライン イベントのため、一部の issue がインポートされませんでした。

ghe-migrator を使うと、issue と pull request のビデオ添付ファイルが、移行でインポートされませんでした。

非 ASCII 文字を含むタグがリポジトリにあると、[リリース] ページで 500 エラーが返されました。 [更新日: 2022 年 6 月 10 日]

依存関係グラフのデータの移行中に、アップグレードが失敗することがありました。 [更新日: 2022 年 6 月 30 日]

高可用性の構成では、管理コンソールのレプリケーション概要ページに、現在のレプリケーション構成だけが表示され、現在のレプリケーション状態は表示されないことが明確化されました。

依存関係グラフに対する Nomad の割り当てタイムアウトが、アップグレード後の移行が完了できるように増やされました。

GitHub Packages を有効にした場合、接続文字列としての Shared Access Signature (SAS) トークンの使用は現在サポートされていないことに注意してください。

サポート バンドルに、MySQL に格納されているテーブルの行数が含まれるようになりました。

メンテナンスをスケジュールするリポジトリ ネットワークを決定するとき、到達できないオブジェクトのサイズはカウントされなくなりました。

run_started_at 応答フィールドは、ワークフローの実行 API と workflow_run イベントの webhook ペイロードに含まれるようになりました。

パッケージは最新のセキュリティ バージョンに更新されました。

GitHub Actions の成果物の取得とログ アーカイブのダウンロードが常に失敗するようになった回帰を解決しました。 状況によっては、localhost を使用する内部通信用の URL の解決を停止し、代わりにインスタンスのホスト名を誤って使用していました。

マニフェスト ファイルがリポジトリから削除されるとき、マニフェストがリポジトリの Dependency graph ページから削除されていませんでした。

高可用性のノードをアップグレード パッケージとペアでアップグレードすると、Elasticsearch が不整合な状態になる場合があります。

.backup という拡張子のローテーションされるログ ファイルが、システム ログを格納するディレクトリにたまっていました。

一部のクラスター トポロジでは、コマンド ライン ユーティリティ ghe-spokesctl と ghe-btop の実行が失敗しました。

elasticsearch-upgrade サービスが並行して複数回実行されるため、パッケージのアップグレード時に Elasticsearch インデックスが複製される可能性がありました。

データがローカル キャッシュの場所にある場合でも、リポジトリ キャッシュ サーバーがキャッシュではない場所からデータを提供することがありました。

ユーザー アカウントを組織に変換したとき、ユーザー アカウントが GitHub Enterprise Server Enterprise アカウントの所有者だった場合、変換された組織が Enterprise 所有者一覧に誤って表示されます。

IPv6 アドレスでページを表示しようとすると、/stafftools/users/ip_addresses/:address ページが 500 Internal Server Error で応答しました。

Enterprise Administration REST API を使用して権限借用 OAuth トークンを作成すると、OAuth アプリケーション ID に一致する統合が既に存在する場合、エラーが発生していました。

63 文字より長いレプリカ ドメイン名のサポートを追加しました。

構成適用の実行を停止する構成エラーが、構成ログに加えてターミナルに出力するようになりました。

インスタンスで GitHub Advanced Security 機能が有効になっている場合、リポジトリ コントリビューションのバッチを処理すると、バックグラウンド ジョブのパフォーマンスが向上します。

GitHub Enterprise Server インスタンスをセットアップしたばかりでユーザーがいない場合、攻撃者が最初の管理者ユーザーを作成できました。

カスタムのファイアウォール規則は、アップグレード プロセス中に削除されます。

Web インターフェイス経由でアップロードされた Git LFS 追跡ファイルが、誤ってリポジトリに直接追加されます。

GitHub Connect で [Users can search GitHub.com](ユーザーが GitHub.com を検索できる) が有効になっている場合、プライベートおよび内部リポジトリの issue は GitHub.com の検索結果に含まれません。

GitHub Packages npm レジストリが、メタデータ応答で時刻値を返さなくなります。 これは、パフォーマンスの大幅な向上を可能にするために行われました。 メタデータ応答の一部として時刻値を返すために必要なすべてのデータを引き続き保持します。また、既存のパフォーマンスの問題を解決したら、将来的にはこの値を再び返す予定です。

pre-receive フックの処理に固有のリソース制限が、一部の pre-receive フックのエラーを引き起こす場合があります。

--ephemeral パラメーターを使って複数のレベル (たとえば、Enterprise と Organization の両方) でセルフホステッド ランナーを登録した後、ランナーがアイドル状態で停止し、再登録が必要になる場合があります。 [更新日: 2022 年 6 月 17 日]

GitHub Enterprise Server 3.4 にアップグレードした後、リリースがリポジトリに表示されない場合があります。 これは、必要な Elasticsearch インデックスの移行が正常に完了していない場合に発生する可能性があります。

GitHub Advanced Security をご利用のお客様が GitHub Enterprise Server 3.5 以降にアップグレードした場合、Web UI と REST API でシークレット スキャンからのアラートが表示されなくなることがあります。 以前と同様にアラートが表示されるようにするには、以前のリリースから 3.5 以降にアップグレードするときに 3.4 をスキップしないでください。 修正プログラムは、3.5.5 および 3.6.1 パッチ リリースで入手できます。

3.4 を介したアップグレードを計画する場合は、アップグレード アシスタントに関する記事を参照してください。 [更新日: 2022-09-01]

GitHub Pages のビルドが、高可用性用に構成された AWS のインスタンスでタイムアウトする場合があります。 [更新日: 2022 年 11 月 28 日]

GitHub Enterprise Server 3.0 は 2022 年 2 月 16 日に廃止されました。 これは、この日付を過ぎると、重大なセキュリティの問題であってもパッチ リリースが作成されないことを意味します。 より優れたパフォーマンス、改善されたセキュリティ、新機能のため、できるだけ早く GitHub Enterprise Server の最新バージョンにアップグレードしてください。

GitHub Enterprise Server 3.1 は 2022 年 6 月 3 日に廃止されました。 これは、この日付を過ぎると、重大なセキュリティの問題であってもパッチ リリースが作成されないことを意味します。 より優れたパフォーマンス、改善されたセキュリティ、新機能のため、できるだけ早く GitHub Enterprise Server の最新バージョンにアップグレードしてください。

GitHub Enterprise Server 3.3 以降、XenServer 上の GitHub Enterprise Server は非推奨になり、サポートされなくなりました。 ご質問やご不明な点については、GitHub サポートにお問い合わせください。

使用率が低いため、GitHub Enterprise Server 3.4 では Content References API プレビューは非推奨となりました。 以前は、この API には corsair-preview ヘッダーを使用してアクセスできました。 ユーザーは、この API を使用しなくても引き続き外部 URL に移動できます。 Content References API について登録されている使用方法では、登録済みドメインから URL の Webhook 通知を受け取れなくなり、既存の添付コンテンツに対して試行された更新に有効な応答コードが返されなくなりました。

scarlet-witch-preview ヘッダーを使ってアクセスできた Codes of Conduct API プレビューは、GitHub Enterprise Server 3.4 では非推奨になり、アクセスできなくなりました。 代わりに、"Get community profile metrics" (コミュニティ プロファイル メトリクスを取得する) エンドポイントを使用して、リポジトリの行動規範に関する情報を取得することをお勧めします。 詳細については、GitHub 変更ログの「非推奨のお知らせ: Codes of Conduct API プレビュー」を参照してください。

GitHub Enterprise Server 3.4 以降、OAuth Application API エンドポイントの非推奨バージョンは削除されました。 これらのエンドポイントで 404 エラー メッセージが表示された場合は、URL に access_tokens が含まれない OAuth Application API のバージョンにコードを変換します。 また、クエリ パラメーターを使った API 認証の使用が無効になりました。 代わりに、要求ヘッダーで API 認証を使うことをお勧めします。

GitHub Enterprise Server 3.4 では CodeQL ランナーは非推奨となり、サポートされなくなりました。 この非推奨は、サード パーティの CI/CD システムで CodeQL コード スキャンを使用するユーザーにのみ影響します。GitHub Actions ユーザーには影響しません。 お客様には、CodeQL ランナーのフィーチャー コンプリート置換である CodeQL CLI への移行を強くお勧めします。 詳細については、「GitHub の変更ログ」を参照してください。

GitHub Enterprise Server 3.1 から、GitHub 独自のビット キャッシュ拡張機能のサポートの段階的な廃止が始まりました。これらの拡張機能は、GitHub Enterprise Server 3.3 以降で非推奨になります。

バージョン 3.1 または 3.2 を実行している お使いの GitHub Enterprise Server インスタンス に既に存在し、アクティブであったリポジトリはすべて自動的に更新されるようになります。

GitHub Enterprise Server 3.3 にアップグレードする前に存在せずアクティブでなかったリポジトリは、リポジトリのメンテナンス タスクが実行され正常に完了するまで、最適に動作しない可能性があります。

リポジトリのメンテナンス タスクを手動で開始するには、影響を受ける各リポジトリの https://<hostname>/stafftools/repositories/<owner>/<repository>/network を参照し、[スケジュール] ボタンをクリックします。

GitHub Pages 用のテーマ ピッカーは、Pages の設定から削除されました。 GitHub Pages のテーマの構成について詳しくは、「Jekyll を使用して GitHub Pages サイトにテーマを追加する」をご覧ください。

中: GitHub Enterprise Server 管理コンソールでパス走査の脆弱性が確認されました。これにより、CSRF 保護のバイパスが可能になりました。 この脆弱性により、3.5 より前の GitHub Enterprise Server のすべてのバージョンが影響を受けます。バージョン 3.1.19、3.2.11、3.3.6、3.4.1 で修正されました。 この脆弱性は、GitHub バグ報奨金プログラムを通じて報告され、CVE-2022-23732 が割り当てられました。

中: yajil の 1.x ブランチと 2.x ブランチで整数オーバーフローの脆弱性が確認されました。これは、大規模な (2 GB 以下) 入力の処理時に後続のヒープ メモリが破損する原因になります。 この脆弱性は内部的に報告され、CVE-2022-24795 が割り当てられました。

GitHub Actions が有効にされた場合、サポート バンドルには機密ファイルが含まれている可能性があります。

パッケージは最新のセキュリティ バージョンに更新されました。

複合アクションが使われている場合、ワークフローの実行が完了しないことがあります。

Dependabot を有効にすると、エラーによって一部のセキュリティ アドバイザリが適用されなくなったものとして一時的に表示されました。

GitHub Enterprise Server をアップグレードした後、古い構成オプションが存在すると、Minio プロセスの CPU 使用率が高くなりました。

TLS 1.0 と TLS 1.1 を有効にするオプションが、以前のリリースでこれらのプロトコル バージョンの削除が行われたにもかかわらず、管理コンソールの [プライバシー] 設定に表示されていました。

HA 環境では、MSSQL レプリケーションを構成するには、GitHub Actions を初めて有効にした後で追加の手動手順が必要な場合がありました。

ホットパッチの後、内部構成ファイルのサブセットの更新がより確実に行われます。

ghe-run-migrations スクリプトでは、一時証明書名の生成が正しく行われない場合がありました。

gpg --import を使用する受信前フックが、不十分な syscall 特権のためにタイムアウトしました。

一部のクラスター トポロジでは、webhook デリバリー情報が利用できませんでした。

保留中のジョブをレンダリングすると、GitHub Actions のデプロイ グラフにエラーが表示されました。

Elasticsearch 正常性チェックでは、移行の実行時に黄色のクラスター状態は許可されません。

Migrations API を使うと、キューに入れられたエクスポート ジョブが処理されませんでした。

リポジトリの Web UI に機能しない Discussions タブが表示されました。

ユーザーがそのユーザー アカウントを組織に変換した結果として作成された組織は、グローバル Enterprise アカウントに追加されませんでした。

LDAP ユーザー同期ジョブが、前に同期された GPG キーを同期しようとして失敗しました。

アクセスできないページへのリンクは削除されていました。

大量の不必要なバックグラウンド ジョブがキューに格納されたため、一部のインスタンスの CPU 使用率が高くなりました。

空のリポジトリが、キャッシュ サーバーと正しく同期しませんでした。

チームをレビュー担当者として pull request に追加すると、そのチームのメンバー数が誤って表示されることがありました。

SCIM グループによって外部的に管理されているメンバーを削除しようとすると、チーム メンバーシップ削除 API エンドポイントがエラーで応答しました。

休眠ユーザーの数が多いと、GitHub Connect 構成の失敗の原因になることがありました。

サイト管理者の Web UI の Feature & beta enrollments ページが誤って利用可能になっていました。

サイト フッターの Site admin mode リンクをクリックしたとき、状態が変わりませんでした。

ghe-migrator を使うと、または GitHub.com からエクスポートすると、エクスポートに pull request の添付ファイルが含まれませんでした。

大規模なクラスター トポロジに対応するために、Memcached 接続制限値が増やされました。

依存関係グラフ API が、以前は静的に定義されたポートを使用して実行されていました。

クラスター関連の Elasticsearch シャード設定の既定のシャード数が更新されました。

Migrations API でリポジトリのエクスポートが生成されるようになりました。

People ページで Organization のロールを使って Enterprise のメンバーをフィルター処理するときの、ドロップダウン メニュー項目のテキストが改善されました。

"Triage" と "Maintain" チームのロールは、リポジトリ移行時に保持されます。

Enterprise 所有者によって行われる Web 要求のパフォーマンスが向上しました。

GitHub Enterprise Server インスタンスをセットアップしたばかりでユーザーがいない場合、攻撃者が最初の管理者ユーザーを作成できました。

カスタムのファイアウォール規則は、アップグレード プロセス中に削除されます。

Web インターフェイス経由でアップロードされた Git LFS 追跡ファイルが、誤ってリポジトリに直接追加されます。

GitHub Connect で [Users can search GitHub.com](ユーザーが GitHub.com を検索できる) が有効になっている場合、プライベートおよび内部リポジトリの issue は GitHub.com の検索結果に含まれません。

GitHub Packages npm レジストリが、メタデータ応答で時刻値を返さなくなります。 これは、パフォーマンスの大幅な向上を可能にするために行われました。 メタデータ応答の一部として時刻値を返すために必要なすべてのデータを引き続き保持します。また、既存のパフォーマンスの問題を解決したら、将来的にはこの値を再び返す予定です。

pre-receive フックの処理に固有のリソース制限が、一部の pre-receive フックのエラーを引き起こす場合があります。

--ephemeral パラメーターを使って複数のレベル (たとえば、Enterprise と Organization の両方) でセルフホステッド ランナーを登録した後、ランナーがアイドル状態で停止し、再登録が必要になる場合があります。 [更新日: 2022 年 6 月 17 日]

SAML の暗号化されたアサーションを GitHub Enterprise Server 3.4.0 と 3.4.1 で使うと、SPSSODescriptor の新しい XML 属性 WantAssertionsEncrypted に SAML メタデータの無効な属性が含まれます。 この SAML メタデータ エンドポイントを使う IdP は、SAML メタデータ XML スキーマを検証するときにエラーが発生する可能性があります。 修正は次回のパッチ リリースで利用可能になります。 [更新日: 2022 年 4 月 11 日]

この問題を回避するには、次の 2 つの操作のいずれかを使用できます。

• WantAssertionsEncrypted 属性を含まない SAML メタデータの静的なコピーをアップロードすることで、IdP を再構成します。
• SAML メタデータをコピーし、WantAssertionsEncrypted 属性を削除し、それを Web サーバーでホストして、その URL を指すように IdP を再構成します。

GitHub Advanced Security をご利用のお客様が GitHub Enterprise Server 3.5 以降にアップグレードした場合、Web UI と REST API でシークレット スキャンからのアラートが表示されなくなることがあります。 以前と同様にアラートが表示されるようにするには、以前のリリースから 3.5 以降にアップグレードするときに 3.4 をスキップしないでください。 修正プログラムは、3.5.5 および 3.6.1 パッチ リリースで入手できます。

3.4 を介したアップグレードを計画する場合は、アップグレード アシスタントに関する記事を参照してください。 [更新日: 2022-09-01]

GitHub Pages のビルドが、高可用性用に構成された AWS のインスタンスでタイムアウトする場合があります。 [更新日: 2022 年 11 月 28 日]

GitHub Enterprise Server 3.0 は 2022 年 2 月 16 日に廃止されました。 これは、この日付を過ぎると、重大なセキュリティの問題であってもパッチ リリースが作成されないことを意味します。 より優れたパフォーマンス、改善されたセキュリティ、新機能のため、できるだけ早く GitHub Enterprise Server の最新バージョンにアップグレードしてください。

GitHub Enterprise Server 3.1 は 2022 年 6 月 3 日に廃止されました。 これは、この日付を過ぎると、重大なセキュリティの問題であってもパッチ リリースが作成されないことを意味します。 より優れたパフォーマンス、改善されたセキュリティ、新機能のため、できるだけ早く GitHub Enterprise Server の最新バージョンにアップグレードしてください。

GitHub Enterprise Server 3.3 以降、XenServer 上の GitHub Enterprise Server は非推奨になり、サポートされなくなりました。 ご質問やご不明な点については、GitHub サポートにお問い合わせください。

使用率が低いため、GitHub Enterprise Server 3.4 では Content References API プレビューは非推奨となりました。 以前は、この API には corsair-preview ヘッダーを使用してアクセスできました。 ユーザーは、この API を使用しなくても引き続き外部 URL に移動できます。 Content References API について登録されている使用方法では、登録済みドメインから URL の Webhook 通知を受け取れなくなり、既存の添付コンテンツに対して試行された更新に有効な応答コードが返されなくなりました。

scarlet-witch-preview ヘッダーを使ってアクセスできた Codes of Conduct API プレビューは、GitHub Enterprise Server 3.4 では非推奨になり、アクセスできなくなりました。 代わりに、"Get community profile metrics" (コミュニティ プロファイル メトリクスを取得する) エンドポイントを使用して、リポジトリの行動規範に関する情報を取得することをお勧めします。 詳細については、GitHub 変更ログの「非推奨のお知らせ: Codes of Conduct API プレビュー」を参照してください。

GitHub Enterprise Server 3.4 以降、OAuth Application API エンドポイントの非推奨バージョンは削除されました。 これらのエンドポイントで 404 エラー メッセージが表示された場合は、URL に access_tokens が含まれない OAuth Application API のバージョンにコードを変換します。 また、クエリ パラメーターを使った API 認証の使用が無効になりました。 代わりに、要求ヘッダーで API 認証を使うことをお勧めします。

GitHub Enterprise Server 3.4 では CodeQL ランナーは非推奨となり、サポートされなくなりました。 この非推奨は、サード パーティの CI/CD システムで CodeQL コード スキャンを使用するユーザーにのみ影響します。GitHub Actions ユーザーには影響しません。 お客様には、CodeQL ランナーのフィーチャー コンプリート置換である CodeQL CLI への移行を強くお勧めします。 詳細については、「GitHub の変更ログ」を参照してください。

GitHub Enterprise Server 3.1 から、GitHub 独自のビット キャッシュ拡張機能のサポートの段階的な廃止が始まりました。これらの拡張機能は、GitHub Enterprise Server 3.3 以降で非推奨になります。

バージョン 3.1 または 3.2 を実行している お使いの GitHub Enterprise Server インスタンス に既に存在し、アクティブであったリポジトリはすべて自動的に更新されるようになります。

GitHub Enterprise Server 3.3 にアップグレードする前に存在せずアクティブでなかったリポジトリは、リポジトリのメンテナンス タスクが実行され正常に完了するまで、最適に動作しない可能性があります。

リポジトリのメンテナンス タスクを手動で開始するには、影響を受ける各リポジトリの https://<hostname>/stafftools/repositories/<owner>/<repository>/network を参照し、[スケジュール] ボタンをクリックします。

GitHub Advanced Security をお使いのお客様はこの REST API を使用して、プライベート リポジトリ スキャンで検出されるシークレットのコミットの詳細を取得できるようになりました。 新しいエンドポイントからは、シークレットの場所とコミット SHA を含め、ファイル内でのシークレットの最初の検出の詳細が返されます。 詳しくは、REST API ドキュメントの「シークレット スキャン」をご覧ください。

Enterprise と Organization では、GitHub Advanced Security ライセンスの使用状況データを CSV ファイルにエクスポートできるようになりました。 また、REST API の課金エンドポイント経由で Advanced Security 課金データを取得することもできます。 詳細については、「GitHub の変更ログ」を参照してください。

ワークフロー全体を 1 つのアクションであるかのように再利用できるようになりました。 この機能はパブリック ベータ版で利用できます。 リポジトリ全体でワークフロー定義をコピーして貼り付けるのではなく、1 行の構成で既存のワークフローを参照できるようになりました。 詳細については、「GitHub の変更ログを参照してください。

Dependabot は、パブリック ベータ版として GitHub Enterprise Server 3.4 で利用できるようになりました。いくつかの一般的なエコシステムのバージョン更新プログラムとセキュリティ更新プログラムの両方が提供されています。 GitHub Enterprise Server の Dependabot では、GitHub Actions と、Dependabot 使用のために構成されたセルフホステッド ランナーのプールが必要です。 GitHub Enterprise Server の Dependabot では、管理者が GitHub Connect と Dependabot を有効にする必要もあります。 ベータ版に関するフィードバックと提案は、Dependabot フィードバックについての GitHub ディスカッションで共有できます。 詳しい情報が必要な場合や、ベータ版をお試しになる場合は、「Enterprise での Dependabot のセキュリティとバージョンの更新の設定」を参照してください。

GitHub Enterprise Server に SAML 認証を使っている場合、IdP から暗号化されたアサーションを構成して、セキュリティを強化できるようになりました。 IdP が お使いの GitHub Enterprise Server インスタンス に情報を送信するとき、暗号化されたアサーションによって新しい暗号化のレイヤーが追加されます。 詳細については、SAML の使用に関するページを参照してください。

GitHub Mobile for iOS 1.80.0 以降では、ユーザーは pull request のトピック ブランチ内でファイルを編集できるようになりました。 GitHub Mobile for Android でのファイルの編集のサポートは、今後のリリースで提供される予定です。 [更新日: 2022 年 9 月 13 日]

ユーザーは、タブと同じ数のスペースを選べるようになりました。その際に、ユーザー アカウントの [外観] 設定で希望するタブのサイズを設定します。 その希望するタブのサイズを使用して、タブ インデントを含むすべてのコードがレンダリングされます。

GitHub Connect データベース接続レコードには、アクティブおよび休眠ユーザーの数と構成済みの休眠期間が含まれるようになりました。

GitHub Enterprise Server にカスタム フッターを追加することで、ユーザーが Enterprise 固有のリンクにアクセスできるようにすることができます。 詳しくは、「カスタム フッターの構成」を参照してください。

高可用性構成で GitHub Enterprise Server インスタンス間の通信をセキュリティで保護するために使用される WireGuard が、カーネル実装に移行されました。

Organization 所有者は、新しいデプロイ キーが、Organization に属しているリポジトリに追加されたときにメール通知の登録を解除できるようになりました。 詳細については、「通知の設定」を参照してください。

新たに作成された issue と pull request からの通知メールの件名に (Issue #xx) または (PR #xx) が含まれるようになり、このような種類の issue を参照するメールを認識してフィルター処理できるようになりました。

Organization では、プロファイルの [概要] で README.md ファイルを表示できるようになりました。 詳細については、「GitHub の変更ログ」を参照してください。

Organization のメンバーは、Organization の [人] タブで Enterprise 所有者のリストを表示できるようになりました。Enterprise 所有者リストは GraphQL API を使用してアクセスすることもできるようになりました。 詳細については、GraphQL API ドキュメントの Organization オブジェクトの下にある "enterpriseOwners" フィールドを参照してください。

[アクセスの管理] セクションが、リポジトリ設定の [コラボレーターとチーム] ページに表示されるようになりました。 新しいセクションを使うと、リポジトリ管理者はリポジトリにアクセスできるユーザーと、各ユーザーに許可されているアクセスのレベルをより簡単に表示して管理できます。 管理者は次のことをできるようになりました。

• リポジトリにアクセスできるすべてのメンバー、チーム、コラボレーターを検索する。
• メンバーに混合ロールがいつ割り当てられ、個人として直接またはチームを介して間接的にアクセスが許可されたかを確認する。 これは、新しい "混合ロール" 警告で視覚化され、アクセス許可レベルが割り当てられたロールよりも高い場合に、ユーザーに許可された最も高いレベルのロールが表示されます。
• 人気のあるリポジトリへのアクセスを確実に管理する。この場合、ページ分割が行われ、大規模なユーザー グループによるアクセス時のタイムアウトが少なくなります。

GitHub Enterprise Server 3.4 では、プライベート リポジトリの招待の通知、保留中の招待があるプライベート リポジトリへのアクセス時の UI プロンプト、保留中の招待がある場合のパブリック リポジトリの概要ページ上のバナーなど、リポジトリの招待エクスペリエンスが改善されています。

カスタム自動リンクに単一文字のプレフィクスを使用できるようになりました。 自動リンクのプレフィックスに、英数字だけでなく、.、-、_、+、=、:、/、# 文字も使用できるようになりました。 カスタム自動リンクの詳細については、「外部リソースを参照する自動リンクの構成」を参照してください。

リポジトリのルートの CODE_OF_CONDUCT.md ファイルが、リポジトリ概要ページの [バージョン情報] サイド バーで強調表示されるようになりました。

GitHub Enterprise Server 3.4 では、特定のリリースのすべての pull request の概要を示す自動生成リリース ノートなど、リリース UI が改善されています。 詳細については、「GitHub の変更ログ」を参照してください。

リリースの公開時に、そのリリースの下部にアバター リストが表示されるようになりました。 リリース ノートに記載されているすべてのユーザー アカウントのアバターが表示されます。 詳細については、「リポジトリのリリースを管理する」を参照してください。

新しい [アクセシビリティ] 設定ページを使用して、キーボード ショートカットを管理できるようになりました。 1 文字のみを使用するキーボード ショートカットを無効にすることを選べます。たとえば、S、G C、. (ピリオド キー) などです。 詳細については、「GitHub の変更ログ」を参照してください。

issue のコメントや pull request の説明など、Markdown 対応フィールドで固定幅フォントを使用することを選べるようになりました。 詳細については、「GitHub の変更ログ」を参照してください。

選択したテキストに URL を貼り付けて、Markdown リンクをすばやく作成できるようになりました。 これは、issue のコメントや pull request の説明など、Markdown 対応フィールドで機能します。 詳細については、「GitHub の変更ログ」を参照してください。

閲覧者に Markdown の画像を表示する方法を定義するために、画像 URL に #gh-dark-mode-only などのテーマ コンテキストを付加できるようになりました。 詳細については、「GitHub の変更ログ」を参照してください。

Markdown (.md) のファイル拡張子が付いた gist ファイルの作成または編集時に、[プレビュー] または [変更のプレビュー] タブにファイル内容の Markdown レンダリングが表示されます。 詳細については、「GitHub の変更ログ」を参照してください。

issue、pull request、ディスカッションで GitHub の名前を入力したときに、@mention suggester により、既存の参加者が他の GitHub ユーザーよりも上にランク付けされ、探しているユーザーが一覧表示される可能性が高くなりました。

Markdown ファイル、issue、pull request、ディスカッション、コメントで右から左に記述する言語がネイティブでサポートされるようになりました。

pull request の [変更されたファイル] タブの空白の変更を非表示にする diff 設定が、その pull request のユーザー アカウントに対して保持されるようになりました。 選んだ設定は、ページから移動し、同じ pull request の [変更されたファイル] タブにアクセスした場合に自動的に再適用されます。

pull request コード レビューに対して自動割り当てを使用するときに、自動割り当て設定とは別に、要求されたチーム メンバーにのみ知らせることを選べるようになりました。 この設定は、多くのユーザーが自動割り当てされるものの、すべてのユーザーが通知を必要としているわけでない場合に便利です。 詳細については、「GitHub の変更ログ」を参照してください。

Organization とリポジトリの管理者は Webhook をトリガーし、リポジトリのブランチ保護ルールの変更をリッスンできるようになりました。 詳細については、Webhook イベントとペイロードに関するドキュメントの「branch_protection_rule」イベントを参照してください。

保護されたブランチを構成するときに、特定の GitHub App で必須の状態チェックが提供されるように強制できるようになりました。 その後、状態が別のアプリケーション、またはコミットの状態に応じてユーザーによって提供された場合は、マージが妨げられます。 これにより、すべての変更が目的のアプリケーションによって確実に検証されます。 詳細については、「GitHub の変更ログ」を参照してください。

保護されたブランチの名前を変更し、ブランチ保護ルールを変更できるのは、管理者権限を持つユーザーのみとなりました。 以前は、既定のブランチを除き、コラボレーターがブランチの名前を変更できたため、そのブランチに適用されているワイルドカード以外のブランチ保護ルールの名前も変更されました。 詳細については、「ブランチの名前を変更する」と「ブランチ保護ルールを管理する」を参照してください。

管理者は、特定のユーザーとチームのみに pull request の要件を回避することを許可できるようになりました。 詳細については、GitHub の変更ログを参照してください。

管理者は、特定のユーザーとチームのみにリポジトリにフォース プッシュすることを許可できるようになりました。 詳細については、「GitHub の変更ログ」を参照してください。

保護されたブランチのすべての変更について pull request を必要とする場合、管理者は、承認済みレビューも必要とするかどうかを選べるようになりました。 詳細については、「GitHub の変更ログ」を参照してください。

create、deployment、deployment_status イベントについて Dependabot によってトリガーされる GitHub Actions ワークフローでは、シークレットではなく、常に読み取り専用トークンが受け取られるようになりました。 同様に、Dependabot によってベース参照が作成された pull request の pull_request_target イベントについて Dependabot によってトリガーされるワークフローでは、シークレットではなく、常に読み取り専用トークンが受け取られるようになりました。 これらの変更は、悪意がある可能性のあるコードが特権のあるワークフローで実行されないようにするためのものです。 詳細については、「GitHub Actions による Dependabot の自動化」を参照してください。

Dependabot によってトリガーされる push と pull_request イベントでのワークフローの実行では、ユーザーのワークフローに指定されたアクセス許可が優先されるようになりました。これにより、ユーザーは自動依存関係更新の管理方法を制御できるようになります。 既定のトークンのアクセス許可は読み取り専用のままになります。 詳細については、「GitHub の変更ログ」を参照してください。

Dependabot によってトリガーされる GitHub Actions ワークフローには、Dependabot シークレットが送信されるようになりました。 Dependabot で使用するように構成したのと同じシークレットを使って、CI のプライベート パッケージ レジストリからプルできるようになりました。これにより、GitHub Actions と Dependabot との連携が改善されます。 詳細については、「GitHub Actions による Dependabot の自動化」を参照してください。

ランナー グループを管理し、UI の新しい [ランナー] と [ランナー グループ] ページを使って、セルフホステッド ランナーの状態を確認できるようになりました。 リポジトリまたは Organization の Actions 設定ページに、ランナーの概要ビューが表示されるようになり、特定のランナーを深く掘り下げて編集したり、現在実行されている可能性のあるジョブを確認したりできるようになりました。 詳細については、「GitHub の変更ログ」を参照してください。

アクション作成者は、アクションの action.yml で runs.using を node16 と指定して、Node.js 16 でアクションを実行できるようになりました。 これは、既存の Node.js 12 サポートに追加されます。アクションでは引き続き runs.using: node12 を指定して Node.js 12 ランタイムを使用できます。

手動でトリガーされたワークフローの場合、GitHub Actions では、既定の string 型に加え、choice、boolean、environment 入力型がサポートされるようになりました。 詳しくは、「on.workflow_dispatch.inputs」をご覧ください。

YAML で記述されたアクション (複合アクションともいう) で if 条件がサポートされるようになりました。 これにより、条件が満たされなければ、特定の手順が行われないようにすることができます。 ワークフローで定義されている手順と同様に、サポートされている任意のコンテキストや式を使って条件を作成できます。

セルフホステッド ランナーの検索順の動作が変更され、どのような場合でも任意のレベルで最初に一致した使用可能なランナーでジョブが実行されるようになりました。 特に多くのセルフホステッド ランナーが存在する Organization や Enterprise の場合、これにより、ジョブをセルフホステッド ランナーにはるかに高速に送信できるようになります。 以前は、セルフホステッド ランナーを必要とするジョブを実行するときに、GitHub Actions ではリポジトリ、Organization、Enterprise の順にセルフホステッド ランナーを探していました。

GitHub Actions セルフホステッド ランナーのランナー ラベルは、REST API を使用して一覧表示し、追加および削除できるようになりました。 リポジトリ、Organization、または Enterprise レベルでの新しい API の使用の詳細については、REST API ドキュメントの「リポジトリ」、「Organization」、「Enterprise」を参照してください。

Dependabot グラフでは、Poetry パッケージ マネージャーを使用するリポジトリでの Python 依存関係の検出がサポートされるようになりました。 依存関係は、pyproject.toml と poetry.lock の両方のマニフェスト ファイルから検出されます。

GitHub Enterprise Server で Dependabot のセキュリティとバージョンの更新を構成するときは、GitHub Connect で Dependabot も有効にすることをお勧めします。 これにより、Dependabot では、GitHub.com から依存関係と脆弱性の更新されたリストを取得できるようになります。その際は、依存するオープンソース コードのバブリック リリースの変更ログなどの情報のクエリを実行します。 詳細については、Enterprise の依存関係グラフと Dependabot アラートの有効化に関するページを参照してください。

Dependabot alerts アラートは、GraphQL API を使用して無視できるようになりました。 詳細については、GraphQL API ドキュメントの「dismissRepositoryVulnerabilityAlert」ミューテーションを参照してください。

CodeQL CLI では、SARIF ファイルにマークダウン レンダリング クエリ ヘルプを含められるようになり、クエリでアラートが生成されたときに code scanning UI でヘルプ テキストを表示できるようになりました。 詳細については、「GitHub の変更ログ」を参照してください。

CodeQL CLI と Visual Studio Code の拡張機能では、Apple M1 など、Apple Silicon 搭載のコンピューター上でのデータベースの構築とコードの分析がサポートされるようになりました。 詳細については、「GitHub の変更ログ」を参照してください。

Python エコシステムのより多くのライブラリとフレームワークに対するサポートを追加することで、CodeQL の分析の複雑性が向上しました。 結果として、CodeQL では信頼できないユーザー データの潜在的なソース、そのデータが流れるステップ、またデータが行き着く潜在的に危険なシンクをさらに検出できるようになりました。 この結果、code scanning アラートの品質が全体的に向上しました。 詳細については、「GitHub の変更ログ」を参照してください。

CodeQL でのコードスキャンに、すべての一般的な Ruby バージョン (3.02 まで) でのコード分析のベータ サポートが含まれるようになりました。 詳細については、「GitHub の変更ログ」を参照してください。

code scanning API については、次のようにいくつかの点が改善されています。

• アラートに fixed_at タイムスタンプが追加されました。 このタイムスタンプは、分析でアラートが初めて検出されなかった時刻を表します。
• アラートの結果は、created、updated、または number で sort と direction を使用して並べ替えできるようになりました。 詳細については、「リポジトリのコード スキャン アラートを一覧表示する」を参照してください。
• Last-Modified ヘッダーがアラートとアラート エンドポイント応答に追加されました。 詳細については、Mozilla ドキュメントの「Last-Modified」を参照してください。
• コード スキャン分析の要求時の SARIF 応答に relatedLocations フィールドが追加されました。 アラートのプライマリ ロケーションではないロケーションがフィールドに含まれる可能性があります。 例については SARIF 仕様を、詳細については「リポジトリのコード スキャン分析の取得」を参照してください。
• help と tags の両方のデータが、Webhook 応答アラート ルール オブジェクトに追加されました。 詳細については、「コード スキャン アラートの Webhook イベントとペイロード」を参照してください。
• public_repo スコープが指定されている個人用アクセス トークンには、ユーザーにその権限がある場合に、パブリック リポジトリでのコード スキャン エンドポイントに対する書き込みアクセス権が付与されるようになりました。

詳細については、REST API ドキュメントの「コード スキャン」を参照してください。

GitHub Advanced Security をお使いのお客様は REST API を使用して、Enterprise レベルでプライベート リポジトリ シークレットのスキャン結果を取得できるようになりました。 既存のリポジトリ レベルと Organization レベルのエンドポイントは、新しいエンドポイントで補完されます。 詳しくは、REST API ドキュメントの「シークレット スキャン」を参照してください。

GitHub Mobile のサポートが、新しい GitHub Enterprise Server インスタンスに対して既定で有効にされるようになりました。 GitHub Mobile を明示的に無効または有効にしていない場合は、GitHub Enterprise Server 3.4.0 以降にアップグレードするときに、GitHub Mobile が有効にされます。 インスタンスの GitHub Mobile を前に無効または有効にしている場合、アップグレード時にユーザー設定が保持されます。 詳しくは、「Enterprise での GitHub Mobile の管理」を参照してください。

GitHub Enterprise Server インスタンスをセットアップしたばかりでユーザーがいない場合、攻撃者が最初の管理者ユーザーを作成できました。

カスタムのファイアウォール規則は、アップグレード プロセス中に削除されます。

Web インターフェイス経由でアップロードされた Git LFS 追跡ファイルが、誤ってリポジトリに直接追加されます。

GitHub Connect で [Users can search GitHub.com](ユーザーが GitHub.com を検索できる) が有効になっている場合、プライベートと内部リポジトリのイシューが GitHub.com の検索結果に含まれません。

GitHub Packages npm レジストリが、メタデータ応答で時刻値を返さなくなります。 これは、パフォーマンスの大幅な向上を可能にするために行われました。 メタデータ応答の一部として時刻値を返すために必要なすべてのデータを引き続き保持します。また、既存のパフォーマンスの問題を解決したら、将来的にはこの値を再び返す予定です。

pre-receive フックの処理に固有のリソース制限が、一部の pre-receive フックのエラーの原因となる場合があります。

別のホストで作成されたバックアップからアプライアンスを復元した後に、Actions サービスを再起動する必要があります。

--ephemeral パラメーターを使って複数のレベル (たとえば、Enterprise と Organization の両方) でセルフホステッド ランナーを登録した後、ランナーがアイドル状態で停止し、再登録が必要になる場合があります。 [更新日: 2022 年 6 月 17 日]

SAML の暗号化されたアサーションを GitHub Enterprise Server 3.4.0 と 3.4.1 で使うと、SPSSODescriptor の新しい XML 属性 WantAssertionsEncrypted に SAML メタデータの無効な属性が含まれます。 この SAML メタデータ エンドポイントを使う IdP は、SAML メタデータ XML スキーマを検証するときにエラーが発生する可能性があります。 修正は次回のパッチ リリースで利用可能になります。 [更新日: 2022 年 4 月 11 日]

この問題を回避するには、次の 2 つの操作のいずれかを使用できます。

• WantAssertionsEncrypted 属性を含まない SAML メタデータの静的なコピーをアップロードすることで、IdP を再構成します。
• SAML メタデータをコピーし、WantAssertionsEncrypted 属性を削除し、それを Web サーバーでホストして、その URL を指すように IdP を再構成します。

GitHub Advanced Security をご利用のお客様が GitHub Enterprise Server 3.5 以降にアップグレードした場合、Web UI と REST API でシークレット スキャンからのアラートが表示されなくなることがあります。 以前と同様にアラートが表示されるようにするには、以前のリリースから 3.5 以降にアップグレードするときに 3.4 をスキップしないでください。 修正プログラムは、3.5.5 および 3.6.1 パッチ リリースで入手できます。

3.4 を介したアップグレードを計画する場合は、アップグレード アシスタントに関する記事を参照してください。 [更新日: 2022-09-01]

GitHub Pages のビルドが、高可用性用に構成された AWS のインスタンスでタイムアウトする場合があります。 [更新日: 2022 年 11 月 28 日]

GitHub Enterprise Server 3.0 は 2022 年 2 月 16 日に廃止されました。 これは、この日付を過ぎると、重大なセキュリティの問題であってもパッチ リリースが作成されないことを意味します。 より優れたパフォーマンス、改善されたセキュリティ、新機能のため、できるだけ早く GitHub Enterprise Server の最新バージョンにアップグレードしてください。

GitHub Enterprise Server 3.1 は 2022 年 6 月 3 日に廃止されました。 これは、この日付を過ぎると、重大なセキュリティの問題であってもパッチ リリースが作成されないことを意味します。 より優れたパフォーマンス、改善されたセキュリティ、新機能のため、できるだけ早く GitHub Enterprise Server の最新バージョンにアップグレードしてください。

GitHub Enterprise Server 3.3 以降、XenServer 上の GitHub Enterprise Server は非推奨になり、サポートされなくなりました。 ご質問やご不明な点については、GitHub サポートにお問い合わせください。

使用率が低いため、GitHub Enterprise Server 3.4 では Content References API プレビューは非推奨となりました。 以前は、この API には corsair-preview ヘッダーを使用してアクセスできました。 ユーザーは、この API を使用しなくても引き続き外部 URL に移動できます。 Content References API について登録されている使用方法では、登録済みドメインから URL の Webhook 通知を受け取れなくなり、既存の添付コンテンツに対して試行された更新に有効な応答コードが返されなくなりました。

scarlet-witch-preview ヘッダーを使ってアクセスできた Codes of Conduct API プレビューは、GitHub Enterprise Server 3.4 では非推奨になり、アクセスできなくなりました。 代わりに、"Get community profile metrics" (コミュニティ プロファイル メトリクスを取得する) エンドポイントを使用して、リポジトリの行動規範に関する情報を取得することをお勧めします。 詳細については、GitHub 変更ログの「非推奨のお知らせ: Codes of Conduct API プレビュー」を参照してください。

GitHub Enterprise Server 3.4 以降、OAuth Application API エンドポイントの非推奨バージョンは削除されました。 これらのエンドポイントで 404 エラー メッセージが表示された場合は、URL に access_tokens が含まれない OAuth Application API のバージョンにコードを変換します。 また、クエリ パラメーターを使った API 認証の使用が無効になりました。 代わりに、要求ヘッダーで API 認証を使うことをお勧めします。

GitHub Enterprise Server 3.4 では CodeQL ランナーは非推奨となり、サポートされなくなりました。 この非推奨は、サード パーティの CI/CD システムで CodeQL コード スキャンを使用するユーザーにのみ影響します。GitHub Actions ユーザーには影響しません。 お客様には、CodeQL ランナーのフィーチャー コンプリート置換である CodeQL CLI への移行を強くお勧めします。 詳細については、「GitHub の変更ログ」を参照してください。

GitHub Enterprise Server 3.1 から、GitHub 独自のビット キャッシュ拡張機能のサポートの段階的な廃止が始まりました。これらの拡張機能は、GitHub Enterprise Server 3.3 以降で非推奨になります。

バージョン 3.1 または 3.2 を実行している お使いの GitHub Enterprise Server インスタンス に既に存在し、アクティブであったリポジトリはすべて自動的に更新されるようになります。

GitHub Enterprise Server 3.3 にアップグレードする前に存在せずアクティブでなかったリポジトリは、リポジトリのメンテナンス タスクが実行され正常に完了するまで、最適に動作しない可能性があります。

リポジトリのメンテナンス タスクを手動で開始するには、影響を受ける各リポジトリの https://<hostname>/stafftools/repositories/<owner>/<repository>/network を参照し、[スケジュール] ボタンをクリックします。

GitHub 認証トークンの形式が変更されるため、6 月 3 日を過ぎると、GitHub Enterprise Server 3.1 以前を実行するインスタンスでは、GitHub Connect が動作しなくなります。 詳しくは、GitHub の変更ログを参照してください。 [更新日: 2022 年 6 月 14 日]