Sobre as execuções de fluxo de trabalho a partir de bifurcações públicas
Qualquer pessoa pode bifurcar um repositório público e, em seguida, enviar um pull request que proponha alterações nos fluxos de trabalho do repositório de GitHub Actions. Embora os fluxos de trabalho das bifurcações não tenham acesso a dados confidenciais como segredos, podem ser uma dor de cabeça para os mantenedores se forem modificados para fins abusivos.
Para ajudar a evitar isso, os fluxos de trabalho em pull requests para repositórios públicos de alguns contribuidores externos não serão executados automaticamente, e é possível que tenham de ser aprovados primeiro. Dependendo da configuração “Approval for running fork pull request workflows from contributors”, os fluxos de trabalho em pull requests para repositórios públicos não serão executados automaticamente e poderão precisar de aprovação se:
- A pull request for criada por um usuário que exige aprovações com base na política selecionada.
- O evento de pull request for disparado por um usuário que exige aprovações com base na política selecionada.
Por padrão, todos os colaboradores iniciantes exigem aprovação para executar fluxos de trabalho.
Os fluxos de trabalho disparados por eventos pull_request_target
forem executados no contexto da branch base. Como o branc de base é considerado confiável, os fluxos de trabalho acionados por esses eventos sempre serão executados, independente das configurações de aprovação. Para obter mais informações sobre o evento pull_request_target
, confira "Eventos que disparam fluxos de trabalho".
Warning
Essas políticas de aprovação de fluxo de trabalho se destinam a restringir o conjunto de usuários que podem executar fluxos de trabalho em executores do GitHub Actions que podem levar a um consumo inesperado de recursos e computação durante o uso de executores hospedados no GitHub. Se você estiver usando executores auto-hospedados, o código de fluxo de trabalho potencialmente mal-intencionado controlado pelo usuário será executado automaticamente se o usuário tiver permissão para ignorar a aprovação na política de aprovação definida ou se a pull request for aprovada. Você precisa considerar o risco de executar esse código na sua infraestrutura e deve ler e seguir as recomendações de segurança do executor auto-hospedado, independentemente das configurações de aprovação utilizadas. Confira "Fortalecimento de segurança para o GitHub Actions".
Você pode configurar os requisitos de aprovação de fluxo de trabalho para um repositório, uma organização ou uma empresa.
As execuções de fluxo de trabalho que estão aguardando aprovação por mais de 30 dias são excluídas automaticamente.
Aprovando as execuções do fluxo de trabalho em um pull request a partir de uma bifurcação pública
Os mantenedores com acesso de gravação a um repositório podem usar o seguinte procedimento para revisar e executar fluxos de trabalho em pull requests de colaboradores que exigem aprovação.
-
Abaixo do nome do repositório, clique em Solicitações de pull.
-
Na lista de solicitações pull, clique na solicitação pull que você quer revisar.
-
Na solicitação de pull, clique em Arquivos alterados.
-
Inspecione as alterações propostas no pull request e certifique-se de que você esteja confortável em executar seus fluxos de trabalho no branch do pull request. Você deve ficar especialmente atento para todas as alterações propostas no diretório
.github/workflows/
que afetem arquivos de fluxo de trabalho. -
Se você estiver familiarizado com a execução de fluxos de trabalho no branch de solicitação de pull, volte à guia Conversa e, em "Fluxos de trabalho que aguardam aprovação", clique em Aprovar e executar.