Управление настройками GitHub Actions для репозитория

Сведения о разрешениях GitHub Actions для вашего репозитория

По умолчанию GitHub Actions включен для всех репозиториев и организаций. Вы можете отключить GitHub Actions или ограничить его действиями и повторно используемыми рабочими процессами в enterprise. Дополнительные сведения о GitHub Actionsсм. в разделе Написание рабочих процессов.

Вы можете включить GitHub Actions для своего репозитория. Если включить GitHub Actions, рабочие процессы могут выполнять действия и повторно используемые рабочие процессы в репозитории и любой другой public или internal репозитория. Вы можете полностью отключить GitHub Actions для своего репозитория. При отключении GitHub Actions рабочие процессы в репозитории не выполняются.

Кроме того, можно включить GitHub Actions в своем репозитории, но при этом ограничить действия и многократно используемые рабочие процессы, которые могут выполняться рабочим процессом.

Управление разрешениями GitHub Actions для вашего репозитория

Вы можете отключить GitHub Actions для репозитория или задать политику, определяющую, какие действия и многократно используемые рабочие процессы можно будет использовать в репозитории.

1. На GitHubперейдите на главную страницу репозитория.

2. Под именем репозитория щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

   

3. На левой боковой панели щелкните Actions, а затем нажмите кнопку "Общие".

4. Выберите желаемый параметр в разделе "Разрешения действий".

   Если выбрать **Разрешить предприятиям и выбрать не корпоративные, действия и повторно используемые рабочие процессы, действия и повторно используемые рабочие процессы в пределах enterprise разрешены, и существуют дополнительные параметры для разрешения других конкретных действий и повторно используемых рабочих процессов. Дополнительные сведения см. в разделе "Разрешить выбор действий и повторно используемых рабочих процессов для выполнения.

   Если разрешить действия и повторно использовать рабочие процессы только в enterprise, политика блокирует доступ ко всем действиям, созданным GitHub. Например, действие actions/checkout будет недоступно.

   Если включить закрепление действий на полную длину фиксации SHA, все действия должны быть закреплены на полной длине фиксации SHA для использования. Это включает действия из enterprise и действия, созданные GitHub. Повторно используемые рабочие процессы по-прежнему можно ссылаться по тегу. Дополнительные сведения см. в разделе Справочник по безопасному использованию.

5. Нажмите кнопку Сохранить.

Разрешение выполнения выбранных действий и повторно используемых рабочих процессов

При выборе **Разрешить предприятиям и выбрать не корпоративные, действия и повторно используемые рабочие процессы разрешаются локальные действия и повторно используемые рабочие процессы. Для разрешения других конкретных действий и повторно используемых рабочих процессов доступны дополнительные параметры:

•         **Разрешить действия, созданные с помощью GitHub:** все действия, созданные с помощью GitHub, можно разрешить использовать рабочими процессами. Действия, созданные с помощью GitHub, находятся в `actions` и в организациях `github`. Дополнительные сведения см. в [`actions`](https://github.com/actions) и организациях [`github`](https://github.com/github).
  

•         **Разрешить действия Marketplace проверенным создателям:**  Можно разрешить все действия GitHub Marketplace , созданные проверенными создателями, которые будут использоваться рабочими процессами. Когда GitHub проверит автора действия в качестве партнерской организации, рядом с действием в GitHub Marketplace появится значок <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-verified" aria-label="The verified badge" role="img"><path d="m9.585.52.929.68c.153.112.331.186.518.215l1.138.175a2.678 2.678 0 0 1 2.24 2.24l.174 1.139c.029.187.103.365.215.518l.68.928a2.677 2.677 0 0 1 0 3.17l-.68.928a1.174 1.174 0 0 0-.215.518l-.175 1.138a2.678 2.678 0 0 1-2.241 2.241l-1.138.175a1.17 1.17 0 0 0-.518.215l-.928.68a2.677 2.677 0 0 1-3.17 0l-.928-.68a1.174 1.174 0 0 0-.518-.215L3.83 14.41a2.678 2.678 0 0 1-2.24-2.24l-.175-1.138a1.17 1.17 0 0 0-.215-.518l-.68-.928a2.677 2.677 0 0 1 0-3.17l.68-.928c.112-.153.186-.331.215-.518l.175-1.14a2.678 2.678 0 0 1 2.24-2.24l1.139-.175c.187-.029.365-.103.518-.215l.928-.68a2.677 2.677 0 0 1 3.17 0ZM7.303 1.728l-.927.68a2.67 2.67 0 0 1-1.18.489l-1.137.174a1.179 1.179 0 0 0-.987.987l-.174 1.136a2.677 2.677 0 0 1-.489 1.18l-.68.928a1.18 1.18 0 0 0 0 1.394l.68.927c.256.348.424.753.489 1.18l.174 1.137c.078.509.478.909.987.987l1.136.174a2.67 2.67 0 0 1 1.18.489l.928.68c.414.305.979.305 1.394 0l.927-.68a2.67 2.67 0 0 1 1.18-.489l1.137-.174a1.18 1.18 0 0 0 .987-.987l.174-1.136a2.67 2.67 0 0 1 .489-1.18l.68-.928a1.176 1.176 0 0 0 0-1.394l-.68-.927a2.686 2.686 0 0 1-.489-1.18l-.174-1.137a1.179 1.179 0 0 0-.987-.987l-1.136-.174a2.677 2.677 0 0 1-1.18-.489l-.928-.68a1.176 1.176 0 0 0-1.394 0ZM11.28 6.78l-3.75 3.75a.75.75 0 0 1-1.06 0L4.72 8.78a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L7 8.94l3.22-3.22a.751.751 0 0 1 1.042.018.751.751 0 0 1 .018 1.042Z"></path></svg>.
  

•         **Разрешить или block указанные действия и повторно используемых рабочих процессов:** можно ограничить рабочие процессы для использования действий и повторно используемых рабочих процессов в определенных организациях и репозиториях. Указанные действия нельзя задать более 1000.
  

  Чтобы ограничить доступ к определенным тегам или зафиксировать SHA действия или повторно используемого рабочего процесса, используйте синтаксис для выбора действия или повторно используемого рабочего процесса в рабочих процессах.

  • Для действия используется синтаксис OWNER/REPOSITORY@TAG-OR-SHA. Например, используйте actions/javascript-action@v1.0.1, чтобы выбрать тег или actions/javascript-action@a824008085750b8e136effc585c3cd6082bd575f для выбора SHA. Дополнительные сведения см. в разделе Использование стандартных блоков в рабочем процессе.
  • Для многократно используемого рабочего процесса используется синтаксис OWNER/REPOSITORY/PATH/FILENAME@TAG-OR-SHA. Например, octo-org/another-repo/.github/workflows/workflow.yml@v1. Дополнительные сведения см. в разделе Повторное использование рабочих процессов.

  Подстановочный знак * можно использовать для сопоставления шаблонов. Например, чтобы разрешить все действия и повторно используемые рабочие процессы в организациях, начинающихся на space-org, можно указать space-org*/*. Чтобы разрешить все действия и повторно используемые рабочие процессы в репозиториях, начинающихся на octocat, можно использовать */octocat**@*. Дополнительные сведения об использовании подстановочного * знака см. в разделе Синтаксис рабочего процесса для GitHub Actions.

  Используется , для разделения шаблонов. Например, чтобы разрешить все действия и повторно используемых рабочих процессов из и octocat``octokit организаций, можно указать octocat/*, octokit/*.

  Используйте ! префикс для блокировки шаблонов. Например, чтобы разрешить все действия и повторно используемых рабочих процессов из space-org организации, но заблокировать определенное действие, например space-org/action, можно указать space-org/*, !space-org/action@*. По умолчанию разрешены только действия и повторно используемые рабочие процессы в списке. Чтобы разрешить все действия и повторно используемых рабочих процессов и блокировать определенные действия, можно указать *, !space-org/action@*.

В этой процедуре показано, как добавить в список определенные действия и повторно используемых рабочих процессов в список.

1. На GitHubперейдите на главную страницу репозитория.

2. Под именем репозитория щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

   

3. На левой боковой панели щелкните Actions, а затем нажмите кнопку "Общие".

4. В разделе "Разрешения действий" выберите **Разрешить предприятиям и выбрать не корпоративные, действия и повторно используемые рабочие процессы и добавьте необходимые действия в список.

5. Нажмите кнопку Сохранить.

Управление изменениями из вилок в рабочие процессы в общедоступных репозиториях

Любой пользователь может создать вилку общедоступного репозитория, а затем отправить запрос на вытягивание, предлагающий изменения в рабочих процессах GitHub Actions. Хотя рабочие процессы из вилок не имеют доступа к конфиденциальным данным, таким как секреты, они могут раздражать координаторов, если происходят чрезмерные ненужные изменения.

Чтобы избежать этого, рабочие процессы по запросам на вытягивание к общедоступным репозиториям от некоторых сторонних участников не будут выполняться автоматически и, возможно, сначала потребуется их утверждение. В зависимости от параметра "Утверждение для запуска рабочих процессов запроса на вытягивание из участников", рабочие процессы по запросу на вытягивание в общедоступные репозитории не будут выполняться автоматически и могут потребовать утверждения, если:

• Запрос на вытягивание создается пользователем , требующим утверждений на основе выбранной политики.
• Событие запроса на вытягивание активируется пользователем, требующим утверждений на основе выбранной политики.

По умолчанию все участники, которые делают вклад впервые, должны получить утверждение для запуска рабочих процессов.

Рабочие процессы, активированные событиямиpull_request_target, выполняются в контексте базовая ветвь. Так как базовая ветвь считается доверенной, рабочие процессы, активированные этими событиями, всегда будут выполняться независимо от параметров утверждения. Дополнительные сведения о событии pull_request_target см. в разделе События, инициирующие рабочие процессы.

Можно настроить это поведение для репозитория, выполнив указанную ниже процедуру. Изменение этого параметра переопределяет набор конфигураций на уровне организации или предприятия.

1. На GitHubперейдите на главную страницу репозитория.

2. Под именем репозитория щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

   

3. На левой боковой панели щелкните Actions, а затем нажмите кнопку "Общие".

4. В разделе "Утверждение" для выполнения рабочих процессов запроса на вытягивание вилки от участников выберите, какой подмножество пользователей потребует утверждения перед выполнением рабочих процессов в запросах на вытягивание. Автор запроса на вытягивание и субъект события запроса на вытягивание, запускающие рабочий процесс, будут проверены, чтобы определить, требуется ли утверждение. Если требуется утверждение, пользователь с доступом на запись в репозиторий должен утвердить рабочий процесс запроса на вытягивание для запуска. См . раздел AUTOTITLE.

   Предупреждение

   Если требуется утверждение только для участников первого раза (первые два параметра), пользователь с любым запросом фиксации или извлечения, объединенным в репозиторий, не будет требовать утверждения. Злоумышленник может соответствовать этому требованию, получив простое опечатка или другое безобидное изменение, принятое обработчиком, либо в рамках запроса на вытягивание, созданного или в рамках запроса на вытягивание другого пользователя.

   • Требовать утверждения для участников первого раза, которые являются новыми для GitHub. Только пользователи, которые являются новыми для GitHub и которые никогда не имели фиксации или запроса на вытягивание, объединенные в этот репозиторий, потребуют утверждения для выполнения рабочих процессов.
   • Требовать утверждения для участников первого раза. Только пользователям, у которых никогда не было запроса фиксации или извлечения, объединенных в этот репозиторий, потребуется утверждение для выполнения рабочих процессов.
   • Требовать утверждения для всех внешних участников всех пользователей, которые не являются членом или владельцем этого репозитория, а не участником организации, потребуется утверждение для запуска рабочих процессов.

5. Нажмите Сохранить, чтобы применить настроенные параметры.

Дополнительные сведения об утверждении рабочих процессов, к которым применяется эта политика, см. в разделе Утверждение рабочих процессов выполняется из вилок.

Включение рабочих процессов для вилок частных репозиториев

Если вы используете вилки частных репозиториев, можно настроить политики для управления тем, как пользователи могут запускать рабочие процессы при наступлении событий pull_request. Доступно только для частных и внутренних репозиториев, эти параметры политики можно настроить для enterprise, организаций или репозиториев.

Если политика отключена для организации enterprise или организации, ее нельзя включить для репозитория.

• Выполнять рабочие процессы из запросов на включение внесенных изменений в вилке репозитория — позволяет пользователям запускать рабочие процессы из запросов на включение внесенных изменений в вилке репозитория с помощью GITHUB_TOKEN с разрешением только для чтения и без доступа к секретам.
• Отправлять маркеры записи в рабочие процессы из запросов на включение внесенных изменений — позволяет выполнять запросы на включение внесенных изменений в вилке репозитория для использования GITHUB_TOKEN с разрешением на запись.
• Отправлять секреты в рабочие процессы из запросов на включение внесенных изменений — делает доступными все секреты для запроса на включение внесенных изменений.
• Требовать утверждение для рабочих процессов запроса на вытягивание вилки . Рабочий процесс выполняется при запросах на вытягивание от участников совместной работы без разрешения на запись, для выполнения которых требуется утверждение от кого-либо с разрешением на запись.

Настройка политики вилок для частного репозитория

1. На GitHubперейдите на главную страницу репозитория.

2. Под именем репозитория щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

   

3. На левой боковой панели щелкните Actions, а затем нажмите кнопку "Общие".

4. В разделе Рабочие процессы запроса на вытягивание выберите нужные параметры.

5. Нажмите Сохранить, чтобы применить настроенные параметры.

Настройка разрешений GITHUB_TOKEN для репозитория

Вы можете задать разрешения по умолчанию, предоставляемые параметру GITHUB_TOKEN. Дополнительные сведения см. в GITHUB_TOKENразделе Использование GITHUB_TOKEN для проверки подлинности в рабочих процессах. Вы можете выбрать ограниченный набор разрешений, принимаемые по умолчанию, или применить разрешающие параметры.

Разрешения по умолчанию можно также настроить в параметрах организации. Если репозиторий принадлежит организации и в параметрах организации выбраны более строгие настройки по умолчанию, в параметрах организации выбирается тот же параметр, что и в параметрах репозитория, а разрешающий параметр отключается.

Любой пользователь с доступом на запись в репозиторий может изменить разрешения, предоставленные GITHUB_TOKEN, добавляя или удаляя разрешения на доступ по мере необходимости путем редактирования ключа permissions в файле рабочего процесса. Дополнительные сведения см. в разделе permissions.

Настройка разрешений GITHUB_TOKEN по умолчанию

По умолчанию при создании нового репозитория в личная учетная запись GITHUB_TOKEN доступ только для чтения для contents областей и packages областей. Если вы создаете новый репозиторий в организации, этот параметр наследуется из настроек организации.

1. На GitHubперейдите на главную страницу репозитория.

2. Под именем репозитория щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

   

3. На левой боковой панели щелкните Actions, а затем нажмите кнопку "Общие".

4. В разделе "Разрешения рабочего процесса" выберите, требуется GITHUB_TOKEN ли иметь доступ на чтение и запись для всех разрешений (предупредный параметр) или просто доступ на чтение для contents и packages разрешений (ограниченный параметр).

5. Нажмите Сохранить, чтобы применить настроенные параметры.

Запрет GitHub Actions создавать или утверждать запросы на вытягивание

Вы можете разрешить или запретить рабочим процессам GitHub Actions создавать или утверждать запросы на вытягивание.

По умолчанию при создании репозитория в личной учетной записи рабочим процессам не разрешается создавать или утверждать запросы на вытягивание. Если вы создаете новый репозиторий в организации, этот параметр наследуется из настроек организации.

1. На GitHubперейдите на главную страницу репозитория.

2. Под именем репозитория щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

   

3. На левой боковой панели щелкните Actions, а затем нажмите кнопку "Общие".

4. В разделе «Разрешения рабочего процесса» используйте Allow GitHub Actions для создания и утверждения pull request чтобы настроить, может ли GITHUB_TOKEN создавать и одобрять pull request.

5. Нажмите Сохранить, чтобы применить настроенные параметры.

Разрешение доступа к компонентам во внутреннем репозитории

Действия и многократно используемые рабочие процессы во внутренних репозиториях можно совместно использовать с внутренними и частными репозиториями в одной организации или организации. Сведения о внутренних репозиториях см. в разделе Сведения о репозиториях.

Чтобы настроить, можно ли получить доступ к рабочим процессам actions и повторно используемых рабочих процессов во внутреннем репозитории извне репозитория. Дополнительные сведения см. в разделе Совместное использование действий и рабочих процессов с вашим предприятием. Кроме того, можно использовать REST API для задания или получения сведений о уровне доступа. Дополнительные сведения см. в разделе [AUTOTITLE и Конечные точки REST API для разрешений GitHub Actions](/rest/actions/permissions#set-the-level-of-access-for-workflows-outside-of-the-repository).

1. В GitHub перейдите на главную страницу внутреннего репозитория.

2. Под именем репозитория щелкните Settings.

3. На левой боковой панели щелкните Actions, а затем нажмите кнопку "Общие".

4. В разделе Доступ выберите один из параметров доступа:

   •      **Недоступно** — рабочие процессы в других репозиториях не могут получить доступ к этому репозиторию.
     

   •      **Доступ к репозиториям в организации "НАЗВАНИЕ ОРГАНИЗАЦИИ** " — рабочие процессы в других репозиториях, которые являются частью организации "ИМЯ ОРГАНИЗАЦИИ", могут получить доступ к действиям и повторно используемым рабочим процессам в этом репозитории. Доступ разрешен только из частных или внутренних репозиториев.
     

   •      **Доступ к репозиториям в корпоративной среде** ENTERPRISE NAME — рабочие процессы в других репозиториях, которые являются частью предприятия ENTERPRISE NAME, могут получить доступ к действиям и повторно используемым рабочим процессам в этом репозитории. Доступ разрешен только из частных или внутренних репозиториев.
     

5. Нажмите Сохранить, чтобы применить настроенные параметры.

Разрешение доступа к компонентам в частном репозитории

Действия и повторно используемые рабочие процессы в частных репозиториях можно совместно использовать с другими частными репозиториями в той же организации или организации{enterprise. Сведения о частных репозиториях см. в разделе Сведения о репозиториях.

Приведенные ниже действия можно настроить, можно ли получить доступ к действиям и повторно используемым рабочим процессам в частном репозитории за пределами репозитория. Дополнительные сведения см. в разделе Совместное использование действий и рабочих процессов с вашим предприятием. Также можно использовать REST API для задания или получения сведений о уровне доступа. Дополнительные сведения см. в разделе [AUTOTITLE и Конечные точки REST API для разрешений GitHub Actions](/rest/actions/permissions#set-the-level-of-access-for-workflows-outside-of-the-repository).

1. В GitHubперейдите на главную страницу частного репозитория.
2. Под именем репозитория щелкните Settings.
3. На левой боковой панели щелкните Actions, а затем нажмите кнопку "Общие".
4. В разделе Доступ выберите один из параметров доступа: * Недоступно — рабочие процессы в других репозиториях не могут получить доступ к этому репозиторию. * Доступ к репозиториям в организации "НАЗВАНИЕ ОРГАНИЗАЦИИ " — рабочие процессы в других репозиториях, которые являются частью организации "ИМЯ ОРГАНИЗАЦИИ", могут получить доступ к действиям и повторно используемым рабочим процессам в этом репозитории. Доступ разрешен только из частных репозиториев. * Доступ к репозиториям в корпоративной среде ENTERPRISE NAME — рабочие процессы в других репозиториях, которые являются частью предприятия ENTERPRISE NAME, могут получить доступ к действиям и повторно используемым рабочим процессам в этом репозитории. Доступ разрешен только из частных репозиториев.
5. Нажмите Сохранить, чтобы применить настроенные параметры.

Настройка настроек кэша для вашего репозитория

Вы можете настроить настройки сохранения и размера кэша для своего репозитория. Эта функция доступна по выбору и доступна пользователям с установленным способом оплаты в файле, GitHub Pro, GitHub Team или GitHub Enterprise Cloud.

Если ваш репозиторий принадлежит организации, у которой настроены настройки кэша, вы можете настроить лимиты до максимума, установленных организацией. Если ваш репозиторий принадлежит пользователю, вы можете настроить его до глобальных максимумов.

1. На GitHubперейдите на главную страницу репозитория.

2. Под именем репозитория щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

   

3. На левой боковой панели щелкните Actions, а затем нажмите кнопку "Общие".

4. В разделе «Настройки кэша» настройте следующие параметры: * Сохранение кэша: количество дней для хранения кэша до автоматического удаления. По умолчанию — 7 дней. Вы можете настроить до 90 дней для публичных репозиториев или до 365 дней для частных и внутренних репозиториев (или до лимита, установленного вашей организацией). * Лимит выселения размера кэша: максимальный общий размер всех кэшей в вашем репозитории. По умолчанию — 10 ГБ. Вы можете настроить до 10 000 ГБ на репозиторий (или до лимита, установленного вашей организацией). При превышении этого лимита старые кэши будут выселены, чтобы освободить место для новых.

5. Нажмите Сохранить, чтобы применить настроенные параметры.

Для получения дополнительной информации о выселении кэша см. Справочник по кэшированию зависимостей.

Настройка периода хранения для артефактов и журналов GitHub Actions в репозитории

Период хранения для артефактов и журналов GitHub Actions в репозитории можно настраивать.

По умолчанию артефакты и файлы журналов, созданные рабочими процессами, сохраняются в течение 90 дней перед автоматическим удалением. Срок хранения можно настроить в зависимости от типа репозитория:

• Для общедоступных репозиториев: можно изменить этот период хранения на любой срок в диапазоне от 1 дня до 90 дней.
• Для частных репозиториев и внутренних репозиториев : можно изменить этот период хранения на любой срок в диапазоне от 1 дня до 400 дней.

При настройке периода хранения он применяется только к новым артефактам и файлам журнала и не применяется ретроактивно к существующим объектам. Для управляемых репозиториев и организаций максимальный срок хранения не может превышать предел, установленный управляющей организацией или предприятием.

Кроме того, можно настраивать желаемый период хранения для конкретного артефакта, созданного рабочим процессом. Дополнительные сведения см. в разделе Удаление артефактов рабочего процесса.

Установка периода хранения артефактов и логов для репозитория

1. На GitHubперейдите на главную страницу репозитория.

2. Под именем репозитория щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

   

3. На левой боковой панели щелкните Actions, а затем нажмите кнопку "Общие".

4. Under Artifact и хранения журналов введите новое значение.

5. Нажмите Сохранить, чтобы применить изменения.