Сведения о запуске рабочих процессов из общедоступных вилок
Любой пользователь может создать вилку общедоступного репозитория, а затем отправить запрос на вытягивание, предлагающий изменения в рабочих процессах GitHub Actions. Хотя рабочие процессы из вилок не имеют доступа к конфиденциальным данным, таким как секреты, они могут раздражать координаторов, если происходят чрезмерные ненужные изменения.
Чтобы избежать этого, рабочие процессы по запросам на вытягивание к общедоступным репозиториям от некоторых сторонних участников не будут выполняться автоматически и, возможно, сначала потребуется их утверждение. В зависимости от параметра "Утверждение для запуска рабочих процессов запроса на вытягивание из участников", рабочие процессы по запросу на вытягивание в общедоступные репозитории не будут выполняться автоматически и могут потребовать утверждения, если:
- Запрос на вытягивание создается пользователем , требующим утверждений на основе выбранной политики.
- Событие запроса на вытягивание активируется пользователем, требующим утверждений на основе выбранной политики.
По умолчанию все участники, которые делают вклад впервые, должны получить утверждение для запуска рабочих процессов.
Рабочие процессы, активированные событиямиpull_request_target
, выполняются в контексте базовая ветвь. Так как базовая ветвь считается доверенной, рабочие процессы, активированные этими событиями, всегда будут выполняться независимо от параметров утверждения. Дополнительные сведения о событии pull_request_target
см. в разделе "События, инициирующие рабочие процессы".
Warning
Эти политики утверждения рабочих процессов предназначены для ограничения набора пользователей, которые могут выполнять рабочие процессы в методах выполнения GitHub Actions, которые могут привести к неожиданному потреблению ресурсов и вычислений при использовании GitHubразмещенных средств выполнения. Если вы используете автономные модули выполнения, потенциально вредоносный код рабочего процесса, контролируемый пользователем, будет выполняться автоматически, если пользователю разрешено обходить утверждение в политике утверждения набора или если запрос на вытягивание утвержден. Необходимо учитывать риск выполнения этого кода в инфраструктуре и проверять и следовать рекомендациям по безопасности локального запуска независимо от используемых параметров утверждения. См. раздел "Защита системы безопасности для GitHub Actions".
Вы можете настроить требования к утверждению рабочих процессов для репозитория, отдела или организации.
Запуски рабочих процессов, ожидающие утверждения более 30 дней, автоматически удаляются.
Утверждение запусков рабочего процесса при запросе на вытягивание из общедоступной вилки
Ответственные за обслуживание с доступом на запись к репозиторию могут использовать следующую процедуру для проверки и запуска рабочих процессов при поступлении запросов на вытягивание от участников, которым требуется утверждение.
-
В поле имени репозитория щелкните Запросы на вытягивание.
-
В списке запросов на вытягивание выберите запрос на вытягивание, который вы хотите просмотреть.
-
В запросе на вытягивание щелкните Файлы изменены.
-
Проверьте предлагаемые изменения в запросе на вытягивание и убедитесь в том, что рабочие процессы можно спокойно выполнить в ветви запроса на вытягивание. Особенного внимания требуют предлагаемые изменения в каталоге
.github/workflows/
, влияющие на файлы рабочего процесса. -
Если вы комфортно работаете с рабочими процессами в ветви запроса на вытягивание, вернитесь на вкладку "Примечание-обсуждение" aria-hidden="true" %} Беседа и в разделе "Рабочие процессы, ожидающие утверждения", нажмите кнопку "Утвердить и запустить".