Enterprise Server 3.4 release notes

HIGH: устранена неправильная уязвимость проверки подлинности, которая позволяла неавторизованному субъекту изменять секреты других пользователей путем проверки подлинности через центр сертификации SSH. Об этой уязвимости сообщили в программе   GitHub Побоям за ошибкии назначили CVE-2023-23761. [Обновлено: 07.04.2023]

MEDIUM: устранена неправильная уязвимость сравнения, которая позволяла выполнять контрабанду фиксаций, отображая неправильный diff. Об этой уязвимости сообщили в программе bounty для ошибок GitHubи назначили CVE-2023-23762.  [Обновлено: 07.04.2023]

На панели мониторинга консоли управления диаграммы и Served Requests , Cached Requests полученные командой git fetch catching , не отображали метрики для экземпляра.

После того как администратор сайта исключил @github-actions[пользователя бота от ограничения скорости с помощью ghe-config app.github.rate-limiting-exempt-users "github-actions[bot]" команды , при выполнении ghe-config-check Validation is-valid-characterset failed появится предупреждение.

GitHub Actions (actions) и Microsoft SQL (mssql) не отображаются в списке процессов на панели мониторинга экземпляров.

На экземпляре в конфигурации с высоким уровнем доступности, если администратор разорвал репликацию с узла реплика с помощью ghe-repl-teardown сразу после запуска ghe-repl-setup, но до ghe-repl-start, возникла ошибка, указывающая на то, что скрипт cannot launch /usr/local/bin/ghe-single-config-apply - run is locked. ghe-repl-teardown теперь отображает информационное оповещение и продолжает очистку.

В экземпляре в конфигурации кластера, когда администратор сайта устанавливает режим обслуживания с помощью ghe-maintenance -s, Permission denied при попытке служебной программы получить доступ /data/user/common/cluster.confк возникает ошибка .

Если администратор сайта использовал для ghe-migrator переноса данных в GitHub Enterprise Server, в некоторых случаях вложенная команда связи не сохранялись после импорта команд.

GitHub Enterprise Server опубликовал метрики распределения, которые не могут быть обработаны сбором. Метрики включали pre_receive.lfsintegrity.dist.referenced_oids, pre_receive.lfsintegrity.dist.unknown_oidsи git.hooks.runtime.

После того как владелец предприятия включает обновления Dependabot, экземпляр быстрее создает начальный набор обновлений.

На экземпляре в конфигурации кластера, когда администратор сайта устанавливает режим обслуживания на одном узле кластера с помощью ghe-maintenance -s, служебная программа предупреждает администратора об использовании ghe-cluster-maintenance -s для установки режима обслуживания на всех узлах кластера. Дополнительные сведения см. в разделе Включение и планирование режима обслуживания.

Когда администратор сайта настраивает исходящий веб-прокси-сервер для GitHub Enterprise Server, экземпляр теперь проверяет домены верхнего уровня (TLD), исключенные из конфигурации прокси-сервера. По умолчанию можно исключить общедоступные TLD, которые указываются в IANA. Администраторы сайта могут указать список незарегистрированных TLD для исключения с помощью ghe-config. Префикс . требуется для всех общедоступных TLD. Например, значение .example.com является допустимым, а example.com — нет. Дополнительные сведения см. в разделе Настройка сервера веб-прокси исходящего трафика.

По умолчанию для выходных данных из ghe-saml-mapping-csv -d используется /data/user/tmp путь вместо /tmp. Дополнительные сведения см. в разделе Служебные программы командной строки.

"ВЫСОКИЙ: в GitHub Enterprise Server обнаружена уязвимость обхода пути, которая позволяла удаленно выполнять код при создании сайта GitHub Pages. Чтобы воспользоваться этой уязвимостью, злоумышленнику потребуется разрешение на создание и создание сайта GitHub Pages на экземпляре GitHub Enterprise Server. Эта уязвимость была обнаружена в рамках программы bounty для ошибок GitHub и назначена CVE-2023-23760.

При просмотре списка открытых сеансов для устройств, вошедшего в учетную запись пользователя, в пользовательском веб-интерфейсе GitHub Enterprise Server может отображаться неправильное расположение.

В редких случаях, когда первичные сегменты для Elasticsearch были расположены на узле реплика, команда завершается ошибкой ghe-repl-stop с ERROR: Running migrations.

ВЫСОКОЙ: В Git добавлены исправления из версии 2.39.2, которые касались CVE-2023-22490 и CVE-2023-23946.

Пакеты обновлены до последних версий системы безопасности.

MEDIUM: в GitHub Enterprise Server была обнаружена уязвимость внедрения кода, которая позволяла задавать произвольные переменные среды из одного значения переменной среды в GitHub Actions при использовании средства выполнения на основе Windows из-за неправильной очистки null байтов. Чтобы воспользоваться этой уязвимостью, злоумышленнику потребуется существующее разрешение на управление значением переменных среды для использования с GitHub Actions. Об этой уязвимости сообщили в программе bounty для ошибок GitHub и назначили CVE-2023-22381.

Пакеты обновлены до последних версий безопасности.

На этапе проверки запуска No such object error конфигурации для служб "Записная книжка" и "Экран просмотра" может возникнуть исключение .

При включении автоматического управления сертификатами TLS с помощью Let's Encrypt процесс может завершиться ошибкой The certificate is not signed by a trusted certificate authority (CA) or the certificate chain in missing intermediate CA signing certificates.

При истечении времени ожидания во время создания diff, например при фиксации отображается ошибка, которую diff создает слишком много времени, push событие веб-перехватчика доставляет пустые diff сведения. Ранее push событие веб-перехватчика не было доставлено.

HIGH: обновлен Git для включения исправлений с версии 2.39.1, которая относится к CVE-2022-41903 и CVE-2022-23521.

Очистка дополнительных секретов в пакетах поддержки и журнале конфигурации.

Зависимости для действия CodeQL обновлены до последних версий безопасности.

Пакеты обновлены до последних версий безопасности.

Метрики Active workers и Queued requests для github служб контейнеров (переименованных из метаданных), gitauthи unicorn служб контейнеров неправильно считывались из собранных и отображались в консоли управления.

Репозитории, заблокированные для миграции, позволят редактировать файлы в пользовательском веб-интерфейсе.

Команде git-janitorне удалось исправить устаревшие multi-pack-index.lock файлы, что привело к сбою обслуживания репозитория.

Команды ghe-support-bundle и ghe-cluster-support-bundle были обновлены, чтобы включить -p/--period флаг для создания пакета поддержки с ограниченным временем. Длительность может быть указана в днях и часах, например , -p '2 hours'``-p '1 day', -p '2 days 5 hours'.

Повышена производительность запусков конфигурации, запущенных с ghe-config-apply помощью .

При обновлении экземпляра с новым корневым разделом выполнение ghe-upgrade команды с параметром -t/--target гарантирует выполнение предварительного проверка для минимального размера дискового хранилища в целевом разделе.

При экспорте данных учетной записи, резервном копировании репозитория или выполнении миграции ссылка на архив репозитория теперь истекает через 1 час. Ранее срок действия ссылки на архив истек через 5 минут.

ВЫСОКИЙ УРОВЕНЬ. В GitHub Enterprise Server обнаружена уязвимость обхода пути, которая позволяла удаленно выполнять код при создании сайта GitHub Pages. Чтобы воспользоваться этой уязвимостью, злоумышленнику потребуется разрешение на создание и создание сайта GitHub Pages на экземпляре. Эта уязвимость была обнаружена в рамках программы bounty для ошибок GitHub и была назначена CVE-2022-46256.

ВЫСОКИЙ УРОВЕНЬ. Неправильная уязвимость авторизации позволила маркеру от пользователя к серверу с заданной областью перейти к полному административному доступу к репозиторию. Злоумышленнику потребуется учетная запись с правами администратора для установки вредоносного Приложение GitHub. Эта уязвимость затронула все версии GitHub Enterprise Server до 3.7.0. Эта уязвимость была обнаружена в программе GitHub Bug Bounty и назначена CVE-2022-23741.

MEDIUM: в GitHub Enterprise Server обнаружена уязвимость раскрытия информации, которая позволяла добавлять частные репозитории в группу средств выполнения GitHub Actions через API пользователем, у которого не было доступа к этим репозиториям, в результате чего имена репозиториев отображались в пользовательском интерфейсе. Чтобы воспользоваться этой уязвимостью, злоумышленнику потребуется доступ к экземпляру GHES, разрешения на изменение GitHub Actions групп средств выполнения и успешное угадывание замаскированного идентификатора частных репозиториев. Эта уязвимость была обнаружена в рамках программы bounty для ошибок GitHub и была назначена CVE-2022-46257.

Когда администратор сайта выполнял ghe-repl-sync-ca-certificates команду из основного узла экземпляров через административную оболочку (SSH), команда реплицировала сертификаты ЦС только из основного узла экземпляров на один узел реплика. Команда не реплицировала сертификаты на все доступные узлы реплика.

Установка GitHub Enterprise Server на низкоуровневой оболочке VMware ESXi завершилась сбоем из-за создания OVA-файла с недопустимым значением емкости.

Когда пользователи выполняли операцию с помощью API, GitHub Enterprise Server принудительно применял квоты на размер репозитория, даже если они отключены глобально.

Событие member веб-перехватчика не включало from значения полей и to для permission поля в changes составе поля.

После удаления учетной записи пользователя из экземпляра вложения изображений, отправленные пользователем в примечаниях, больше не отображались в веб-интерфейсе.

В системном журнале появилось сообщение уровня отладки, которое может быстро потреблять место на корневом томе хранилища экземпляра.

MEDIUM: обновлен CommonMarker для решения сценария, в котором параллельные запросы к REST API Markdown могут привести к неограниченному исчерпанию ресурсов. Эта уязвимость была назначена CVE-2022-39209.

MEDIUM: маркеры пользователя на сервер из приложений GitHub могут обходить проверки авторизации в GraphQL запросах API при доступе к ресурсам, не относящихся к репозиторию. Эта уязвимость была обнаружена в рамках программы GitHub bug Bounty Program и назначена CVE-2022-23739.

MEDIUM: ссылки предварительного просмотра запросов на вытягивание неправильно очищают URL-адреса, что позволяет злоумышленнику внедрять опасные ссылки в веб-интерфейс экземпляров. Об этой уязвимости сообщили в программе GitHub Bug Bounty.

MEDIUM: в GitHub Enterprise Server обнаружена неправильная уязвимость авторизации, которая позволяла маркеру уровня репозитория с доступом на чтение и запись изменять GitHub Actions файлы рабочего процесса без область рабочего процесса. AutoTITLE должен применять область рабочего процесса. Эта уязвимость была обнаружена в программе GitHub Bug Bounty и назначена CVE-2022-46258.

Если GitHub Actions было настроено с хранилищем BLOB-объектов S3 для экземпляра, содержимое, такое как журналы и артефакты из удаленных или просроченных рабочих процессов, останется в хранилище BLOB-объектов на неопределенный срок. Экземпляр автоматически удалит это содержимое при следующем запуске обычного фонового задания очистки.

Установка режима обслуживания со списком исключений IP-адресов не будет сохраняться при обновлениях.

GitHub Pages сборки могут и истекло время ожидания для экземпляров в AWS, настроенных для обеспечения высокой доступности.

После настройки Dependabot и дайджестов оповещений экземпляр будет отправлять хэш-письма приостановленным пользователям.

Если пользователь настроит перехватчик предварительного получения для нескольких репозиториев, на странице перехватчиков экземпляров не всегда отображается правильное состояние перехватчика.

В некоторых случаях пользователям не удавалось объединить запрос на вытягивание из-за непредвиденных проверки состояния.

После выполнения миграций для GitHub Enterprise Importer на экземпляре, настроенном для обеспечения высокой доступности, репликация ресурсов хранилища миграции не будет наверстать упущенное.

Зомби-процессы больше не накапливаются в контейнере gitrpcd .

HIGH: обновлены зависимости для консоли управления до последних версий исправлений, которые устранены уязвимости системы безопасности, включая CVE-2022-30123 и CVE-2022-29181.

HIGH: добавлены проверки для устранения неправильной уязвимости ключа кэша, которая позволяла неавторизованному субъекту получать доступ к файлам частного репозитория через общедоступный репозиторий. Эта уязвимость была назначена CVE-2022-23738.

MEDIUM: в CommonMarker обновлен сценарий, в котором параллельные запросы к REST API Markdown могут привести к неограниченному исчерпанию ресурсов. Эта уязвимость была назначена CVE-2022-39209.

MEDIUM: обновлен Redis до версии 5.0.14 для cve-2021-32672 и CVE-2021-32762.

MEDIUM: обновлены средства выполнения GitHub Actions, чтобы исправить ошибку, которая позволила переменным среды в GitHub Actions заданиях экранировать контекст переменной docker и изменять вызов команд напрямую. Дополнительные сведения см. в разделе Советы по безопасности средства выполнения действий.

MEDIUM: в GitHub Enterprise Server обнаружена неправильная уязвимость управления привилегиями, которая позволяла пользователям с неправильными привилегиями создавать или удалять страницы с помощью API. Чтобы воспользоваться этой уязвимостью, необходимо добавить злоумышленника в репозиторий организации с разрешениями на запись. Об этой уязвимости сообщили в программе GitHub Bug Bounty и назначили CVE-2022-23737.

LOW: из-за уязвимости CSRF запрос к конечной GET точке экземпляра site/toggle_site_admin_and_employee_status может неосознанно переключить состояние администратора сайта пользователя.

Пакеты обновлены до последних версий безопасности.

После того как администратор сайта внес изменения, активировав запуск конфигурации, например отключение GitHub Actions, проверка служб иногда завершается ошибкой с сообщением WARNING: Validation encountered a problem.

После установки администратором сайта горячего исправления, содержащего изменения в ресурсах веб-интерфейса, таких как файлы Или изображения JavaScript, экземпляр не обслуживал новые ресурсы.

Когда пользователь обращается к переименованному репозиторию с помощью Git, имя узла в выходных данных Git неправильно указывает GitHub.com вместо имени узла экземпляра.

Очистка удаленных ресурсов и ресурсов, запланированных для очистки в репозитории, таких как LFS файлов, занимает слишком много времени.

Если пользователь установил Приложение GitHub для учетной записи пользователя, а затем преобразовал учетную запись в организацию, приложению не предоставлены разрешения организации.

Чтобы администраторы сайта успешно завершили обновление, экземпляр теперь выполнит предварительное проверка, чтобы убедиться, что виртуальная машина соответствует минимальным требованиям к оборудованию. Проверка также проверяет работоспособность Elasticsearch. Текущие требования к ЦП, памяти и хранилищу для GitHub Enterprise Server можно просмотреть в разделе "Минимальные требования" в каждой статье статьи AUTOTITLE.

Архивы репозитория для миграций теперь включают is_archived поле.

ВЫСОКИЙ: Приложение GitHub может использовать маркер типа "пользователь—сервер" с заданной областью для обхода логики авторизации пользователя и повышения привилегий.

MEDIUM: использование символа переопределения справа налево в Юникоде в списке доступных файлов для Приложение GitHub может скрыть дополнительные файлы, к которым приложение может получить доступ.

НИЗКИЙ. Предоставление пользователю возможности обхода защиты ветви больше не позволяет пользователю обходить требование проверки подписи.

Пакеты обновлены до последних версий системы безопасности.

Установка TLS-сертификата завершилась сбоем, если строка субъекта сертификата содержала символы UTF-8.

Запуски конфигурации могут завершаться сбоем, если retry-limit или retry-sleep-duration были заданы администратором вручную с помощью ghe-config.

В некоторых случаях панель мониторинга консоли управления загружается неправильно.

Удалена нефункциональная ссылка для экспорта графов монитора консоли управления в виде изображения PNG.

Команда ghe-find-insecure-git-operations не возвращала все небезопасные операции Git после каждого вызова.

В редких случаях обновление GitHub Enterprise Server 3.3 до 3.4 неправильно изменит способ хранения данных, что приведет к сбоям во время будущих обновлений. При обновлении непосредственно до этого выпуска с версии 3.3 сбой не произойдет.

При отправке пакета поддержки в службу поддержки GitHub Enterprise с помощью ghe-support-upload``-t параметра не удалось связать отправленный пакет с указанным запросом.

Ссылка на параметры безопасности для корпоративной учетной записи экземпляра может привести к неправильному представлению.

Клоны или выборки Git по протоколу SSH могут привести к повреждению данных при передаче размером более 1 ГБ.

После того как пользователь удалил или восстановил пакеты из веб-интерфейса, количество пакетов может отображаться неправильно.

После успешной настройки Dependabot и дайджестов оповещений экземпляр не будет отправлять хэш-сообщения.

После обновления до GitHub Enterprise Server 3.4 выпуски будут отсутствовать в репозиториях. Это произошло, когда необходимые миграции индекса Elasticsearch не были успешно завершены. Пользовательский интерфейс выпусков теперь указывает, ожидает ли он завершения миграции индекса Elasticsearch, и ссылки на документацию по отслеживанию состояния и немедленному завершению миграции.

Вручную отключенные GitHub Actions рабочие процессы в репозитории были повторно включены, если репозиторий получил push-уведомления, содержащие более 2048 фиксаций, или если ветвь по умолчанию репозитория изменены.

Если защита ветви была включенаGITHUB_REF_PROTECTED, переменная среды и github.ref_protected контексты для GitHub Actions выполнений рабочих процессов были неправильно заданы как false.

При использовании URL-адреса конечной точки VPC в качестве URL-адреса AWS S3 для GitHub Packages публикация и установка пакетов завершилась сбоем.

При добавлении участника в организацию появляется ошибочное приглашение на пробную версию SAML SSO.

После разблокировки репозитория для временного доступа администратор сайта не смог управлять параметрами продуктов безопасности в репозитории.

Повторяющиеся административные ключи SSH могут отображаться как в консоли управления, так и в /home/admin/.ssh/authorized_keys файле.

Страница администрирования сайта для отдельных пользователей в http(s)://HOSTNAME/stafftools/users/USERNAME/admin автономном режиме, не предназначенная для GitHub Enterprise Server.

В некоторых случаях выполнение ghe-cluster-config-apply может реплицировать пустую конфигурацию на существующие узлы в кластере.

В некоторых случаях запуски конфигурации, запущенные с ghe-config-apply , не завершены или возвращали ошибку Container count mismatch .

После обновления самозаверяющего сертификата TLS в экземпляре GitHub Enterprise Server элементы пользовательского интерфейса на некоторых страницах веб-интерфейса не отображались.

В некоторых случаях фоновые задачи могут зависнуть из-за библиотеки, которая использовалась одновременно, несмотря на то, что она не является потокобезопасной.

Создание пакетов поддержки происходит быстрее в результате параллельной очистки журналов. Дополнительные сведения о пакетах поддержки см. в разделе Предоставление данных для службы поддержки GitHub.

ИНТЕРФЕЙСы API, содержащие organization маршрут или org , теперь принимают идентификатор или slug организации. Ранее API принимали только slugs, что приводило Link к недоступности заголовков для конечных точек GitHub Advanced Security. Дополнительные сведения см. в разделе "Организации" в документации по REST API.

Журнал аудита предприятия теперь содержит больше событий, созданных пользователем, таких как project.create. REST API также возвращает дополнительные события, созданные пользователем, например repo.create. Дополнительные сведения см. в разделах Доступ к журналу аудита для предприятия и Использование API журнала аудита для предприятия.

КРИТИЧЕСКОЕ. Контейнер Elasticsearch GitHub Enterprise Server использовал версию OpenJDK 8, которая была уязвима к проблеме усечения целых чисел при обработке вредоносных таблиц стилей XSLT. Уязвимость отслеживается как CVE-2022-34169.

ВЫСОКИЙ УРОВЕНЬ. Ранее установленные приложения в учетных записях пользователей автоматически получали разрешение на доступ к организации с помощью маркеров доступа с заданной областью после преобразования учетной записи пользователя в учетную запись организации. Об этой уязвимости сообщили в программе GitHub Bug Bounty.

В некоторых случаях экземпляры GitHub Enterprise Server в AWS, которые использовали этот тип экземпляра r4.4xlarge , не загружались.

При расчете фиксаций для GitHub Advanced Security невозможно было указать отдельные репозитории. Дополнительные сведения см. в разделе Панель мониторинга администратора сайта.

Если для экземпляра было задано пользовательское пороговое значение неактивности, приостановка всех неактивных пользователей не позволяла надежно соблюдать пороговое значение. Дополнительные сведения о бездейство см. в разделе Управление неактивными пользователями.

pre_receive_hook.rejected_push События не отображались в корпоративном журнале аудита.

Оба архива миграции для репозиториев и экспорт архива для учетных записей пользователей включают реакции на выпуск.

MEDIUM: предотвращает атаку, в которой подделка запросов на стороне сервера (SSRF) потенциально может заставить мост Subversion (SVN) выполнить удаленный код путем внедрения произвольных данных в Memcached.

MEDIUM: предотвращает выполнение кода JavaScript злоумышленником путем использования уязвимости межсайтовых сценариев (XSS) в раскрывающихся элементах пользовательского интерфейса в веб-интерфейсе GitHub Enterprise Server.

Обновления Grafana до версии 7.5.16, которая устраняет различные уязвимости системы безопасности, включая CVE-2020-13379 и CVE-2022-21702.

Пакеты обновлены до последних версий системы безопасности.

MEDIUM: в GitHub Enterprise Server обнаружена хранимая уязвимость XSS, которая позволяла впрысить произвольные атрибуты. Это внедрение было заблокировано политикой безопасности содержимого (CSP) Github. Эта уязвимость была обнаружена в программе GitHub Bug Bounty и назначена CVE-2022-23733. [Обновлено: 31.07.2022]

MEDIUM: в GitHub Enterprise Server обнаружена уязвимость, связанная с десериализацией недоверенных данных, которая потенциально может привести к удаленному выполнению кода на мосте Subversion (SVN). Чтобы воспользоваться этой уязвимостью, злоумышленнику потребуется получить доступ через подделку запросов на стороне сервера (SSRF), которая позволит злоумышленнику контролировать десериализацию данных. Эта уязвимость была обнаружена в программе GitHub Bug Bounty и назначена CVE-2022-23734.

В некоторых случаях собранная управляющая программа может потреблять избыток памяти.

В некоторых случаях резервные копии сменяемых файлов журналов могут накапливаться и потреблять избыточное хранилище.

После обновления до нового выпуска компонентов и последующего запуска конфигурации Elasticsearch может регистрировать чрезмерные исключения при перестроении индексов.

В некоторых случаях, когда для защищенная ветвь требуется несколько проверок утверждения, запрос на вытягивание может быть объединен с меньшим, чем необходимое количество проверок утверждения.

В экземплярах, использующих проверку подлинности LDAP, запрос проверки подлинности для режима sudo по умолчанию неправильно помещает курсор в поле пароля, когда были видны текстовые поля для имени пользователя и пароля.

В некоторых случаях запланированные GitHub Actions рабочие процессы могут быть отключены.

Конечная точка AUTOTITLE API выставления счетов теперь возвращает Link заголовки для предоставления сведений о разбиении на страницы.

Теперь конечная точка "AUTOTITLE" API выставления счетов возвращает правильное количество всех фиксаций.

Служебная ghe-set-password программа командной строки автоматически запускает необходимые службы при загрузке экземпляра в режиме восстановления.

Метрики для aqueduct фоновых процессов собираются для перенаправления сборных данных и отображаются в консоли управления.

Расположение журнала /data/user/common/ghe-config.logвыполнения миграции базы данных и конфигурации теперь отображается на странице с подробными сведениями о ходе миграции.

MEDIUM: предотвращает атаку, в которой org можно указать параметр строки запроса для URL-адреса GitHub Enterprise Server, который затем предоставляет доступ к активным фиксациям другой организации.

MEDIUM: гарантирует, что github.company.com и github-company.com не оцениваются внутренними службами как идентичные имена узлов, предотвращая потенциальную атаку на стороне сервера (SSRF).

LOW. Злоумышленник может получить доступ к консоли управления с путем обхода атаки по протоколу HTTP, даже если внешние правила брандмауэра блокируют доступ по протоколу HTTP.

Пакеты обновлены до последних версий безопасности.

Файлы в архиве артефактов не удалось открыть после распаковки из-за ограничений разрешений.

Время ожидания Redis больше не останавливает миграцию базы данных во время выполнения ghe-config-apply.

Обработчики фоновых заданий зависают в состоянии частичного завершения работы, в результате чего некоторые типы фоновых заданий (например, сканирование кода) зависают.

В некоторых случаях администраторы сайтов не добавляются автоматически в качестве владельцев предприятия.

Проблема с отрисовкой может повлиять на раскрывающийся список для фильтрации оповещений о проверке секретов в репозитории.

Повышена производительность обновлений версии Dependabot после первого включения.

Время ожидания сборки и синхронизации GitHub Pages теперь настраивается в консоли управления.

Создание или обновление проверка выполнений или проверка наборов может возвращать, 500 Internal Server Error если значение для определенных полей, например имя, было слишком длинным.

При развертывании узлов сервера кэша теперь необходимо описать топологию центра обработки данных (с помощью аргумента --datacenter ) для каждого узла в системе. Это требование предотвращает ситуации, когда при оставлении членства в центре обработки данных значения "по умолчанию" рабочие нагрузки будут неправильно сбалансированы в нескольких центрах обработки данных.

Пакеты обновлены до последних версий системы безопасности.

Внутренний скрипт для проверки имен узлов в файле конфигурации GitHub Enterprise Server вернет ошибку, если строка имени узла начинается с "." (символ точки).

В конфигурациях с высоким уровнем доступности, где имя узла основного узла превышает 60 символов, MySQL не удастся настроить.

Если GitHub Actions был включен, но протокол TLS был отключен в GitHub Enterprise Server 3.4.1 и более поздних версий, применение обновления конфигурации завершится ошибкой.

Аргумент --gateway был добавлен в ghe-setup-network команду , чтобы разрешить передачу адреса шлюза при настройке параметров сети с помощью командной строки.

Конечные точки API выставления счетов GitHub Advanced Security не были включены и недоступны.

Удаленные вложения изображений будут возвращать 500 Internal Server Error вместо 404 Not Found ошибки.

В средах, настроенных с сервером кэш репозитория, ghe-repl-status команда неправильно показала, что gist не реплицируется.

Конечные точки "Получение фиксации" и "Сравнение двух фиксаций" в API фиксации возвращают ошибку500, если путь к файлу в diff содержит закодированный и экранированный символ Юникода.

Вычисление "максимального количества фиксаций во всем экземпляре", сообщаемое на панели мониторинга администратора сайта, было неправильным.

Неправильная запись базы данных для реплик репозитория привела к повреждению базы данных при выполнении восстановления с помощью GitHub Enterprise Server Backup Utilities.

Временная шкала действий для оповещений о проверке секретов не отображались.

Оптимизировано включение метрик при создании пакета поддержки кластера.

В конфигурациях с высоким уровнем доступности, в которых Elasticsearch сообщает допустимое желтое состояние, изменения, внесенные в предыдущее исправление, блокируют ghe-repl-stop команду и не позволяют останавливать репликацию. Использование ghe-repo-stop --force теперь приведет к остановке Elasticsearch, если служба находится в обычном или допустимом желтом состоянии.

СРЕДНИЙ: Обнаружена проблема безопасности в сопоставителье nginx, из-за которой злоумышленник, который мог подделать UDP-пакеты с DNS-сервера, может вызвать перезапись памяти в 1 байт, что приведет к сбою рабочего процесса или другим потенциально разрушительным последствиям. Уязвимость была назначена CVE-2021-23017.

Обновлены actions/checkout@v2 действия и actions/checkout@v3 для устранения новых уязвимостей, объявленных в записи блога о применении безопасности Git.

Пакеты обновлены до последних версий безопасности.

В некоторых топологиях кластера команда оставила ghe-cluster-status пустые каталоги в /tmp.

SNMP неправильно записывает большое количество сообщений об ошибках Cannot statfs в системный журнал.

При добавлении пользовательских шаблонов и предоставлении тестовых строк, отличных от UTF8, выделение совпадений было неправильным.

Пользователи LDAP с символом подчеркивания (_) в именах пользователей теперь могут успешно войти в систему.

Для экземпляров, настроенных с проверкой подлинности SAML и встроенной резервной поддержкой, встроенные пользователи будут застрять в цикле входа при попытке входа на странице, созданной после выхода из системы.

После включения зашифрованных утверждений SAML в Azure в качестве поставщика удостоверений страница входа завершится ошибкой 500 .

Параметры сочетания клавиш символов не соблюдались.

Попытка просмотреть выходные git fsck данные со /stafftools/repositories/:owner/:repo/disk страницы завершится ошибкой 500 Internal Server Error.

При использовании зашифрованных утверждений SAML некоторые утверждения неправильно помечают ключи SSH как проверенные.

Видео, отправленные в примечания к проблеме, не будут отображаться должным образом.

При использовании GitHub Enterprise Importer для импорта репозитория некоторые проблемы не удается выполнить импорт из-за неправильно настроенных событий временная шкала проекта.

При использовании ghe-migratorмиграции не удастся импортировать вложения видеофайла в проблемах и запросах на вытягивание.

Страница Выпуски возвращает ошибку 500, если репозиторий содержит теги, содержащие символы, отличные от ASCII. [Обновлено: 10.06.2022]

Обновления иногда завершаются сбоем при переносе граф зависимостей данных. [Обновлено: 30.06.2022]

В конфигурациях с высоким уровнем доступности уточните, что на странице обзора репликации в консоли управления отображается только текущая конфигурация репликации, но не текущее состояние репликации.

Время ожидания выделения Nomad для Графа зависимостей увеличено, чтобы обеспечить завершение миграции после обновления.

При включении GitHub Packages уточните, что использование маркера ПОДПИСАННОГО URL-адреса (SAS) в качестве строки подключения в настоящее время не поддерживается.

Пакеты поддержки теперь включают количество строк таблиц, хранящихся в MySQL.

При определении сетей репозитория для планирования обслуживания мы больше не подсчитываем размер недоступных объектов.

Поле run_started_at ответа теперь включается в API выполнения рабочего процесса и полезные workflow_run данные веб-перехватчика событий.

Пакеты обновлены до последних версий системы безопасности.

Устранена регрессия, которая может привести к согласованным сбоям при извлечении артефактов и скачивании архивов журналов для GitHub Actions. В некоторых случаях мы прекратили разрешение URL-адресов для внутренних подключений, которые использовали localhost, и вместо этого неправильно использовали имя узла экземпляра.

При удалении файла манифеста из репозитория манифест не будет удален со страницы "Граф зависимостей" репозитория.

Обновление узлов в паре высокого уровня доступности с помощью пакета обновления может привести к тому, что в некоторых случаях Elasticsearch перейдет в несогласованное состояние.

Смена файлов журналов с расширением .backup будет накапливаться в каталогах, содержащих системные журналы.

В некоторых топологиях кластера не удалось запустить служебные программы ghe-spokesctl командной строки.ghe-btop

Индексы Elasticsearch могут дублироваться во время обновления пакета из-за elasticsearch-upgrade того, что служба выполняется несколько раз параллельно.

Серверы кэша репозитория могут обслуживать данные из расположений, не относящихся к кэшу, даже если данные были доступны в локальном кэше.

При преобразовании учетной записи пользователя в организацию, если учетная запись пользователя была владельцем корпоративной учетной записи GitHub Enterprise Server, преобразованная организация будет неправильно отображаться в списке владельцев предприятия.

Страница /stafftools/users/ip_addresses/:address ответила при 500 Internal Server Error попытке отобразить страницу для IPv6-адреса.

Создание токена OAuth для олицетворения с помощью REST API администрирования предприятия привело к ошибке, когда интеграция, соответствующая идентификатору приложения OAuth, уже существовала.

Добавлена поддержка доменных имен реплика, длина которых превышает 63 символа.

Ошибки конфигурации, которые приостанавливают выполнение применения конфигурации, теперь выводятся в терминал в дополнение к журналу конфигурации.

Если в экземпляре включены функции GitHub Advanced Security, производительность фоновых заданий при обработке пакетов для вкладов репозитория улучшилась.

В только что настроенном экземпляре GitHub Enterprise Server без пользователей злоумышленник может создать первого администратора.

Пользовательские правила брандмауэра удаляются в процессе обновления.

Git LFS отслеживаемые файлы, отправленные через веб-интерфейс, неправильно добавляются непосредственно в репозиторий.

Если включен параметр "Пользователи могут искать GitHub.com" с GitHub Connect, проблемы в частных и внутренних репозиториях не включаются в результаты поиска GitHub.com.

Реестр npm GitHub Packages больше не возвращает значение времени в ответах метаданных. Это было сделано для существенного улучшения производительности. Мы по-прежнему имеем все данные, необходимые для возврата значения времени в ответе метаданных, и возобновим возврат этого значения в будущем, как только мы устраним существующие проблемы с производительностью.

Ограничения ресурсов, относящиеся к обработке перехватчики предварительного получения, могут привести к сбою некоторых перехватчики предварительного получения.

После регистрации локального средства выполнения тестов с параметром --ephemeral на нескольких уровнях (например, как на предприятии, так и в организации) средство выполнения может зависнуть в состоянии простоя и потребовать повторной регистрации. [Обновлено: 17.06.2022]

После обновления до GitHub Enterprise Server 3.4 выпуски могут отсутствовать в репозиториях. Это может произойти, если необходимые миграции индекса Elasticsearch не были успешно завершены.

В некоторых случаях клиенты GitHub Advanced Security, обновившиеся до GitHub Enterprise Server 3.5 или более поздней версии, могут заметить, что оповещения о сканировании секретов отсутствуют в веб-интерфейсе и REST API. Чтобы оповещения оставались видимыми, не пропускайте версию 3.4 при обновлении с более ранней версии до версии 3.5 и выше. Проблема исправлена в выпусках исправлений 3.5.5 и 3.6.1.

Чтобы спланировать обновление через версию 3.4, см. статью Помощник по обновлению. [Обновлено: 01.09.2022]

GitHub Pages сборки могут искать время ожидания для экземпляров в AWS, настроенных для обеспечения высокой доступности. [Обновлено: 28.11.2022]

Поддержка GitHub Enterprise Server 3.0 прекращена 16 февраля 2022 г. Это означает, что после этой даты выпуски исправлений не будут производиться даже для критических проблем безопасности. Для повышения производительности, повышения безопасности и новых функций как можно скорее обновите GitHub Enterprise Server до последней версии .

GitHub Enterprise Server 3.1 будет прекращен 3 июня 2022 г. Это означает, что после этой даты выпуски исправлений не будут производиться даже для критических проблем безопасности. Для повышения производительности, повышения безопасности и новых функций как можно скорее обновите GitHub Enterprise Server до последней версии .

Начиная с GitHub Enterprise Server 3.3, GitHub Enterprise Server на XenServer устарел и больше не поддерживается. Обратитесь в службу поддержки GitHub с вопросами или проблемами.

Из-за низкого использования мы не рекомендуем использовать ссылки на содержимое Предварительная версия API в GitHub Enterprise Server 3.4. Ранее API был доступен с помощью заголовка corsair-preview . Пользователи могут продолжать переходить по внешним URL-адресам без этого API. Любое зарегистрированное использование API ссылок на содержимое больше не будет получать уведомление веб-перехватчика для URL-адресов из зарегистрированных доменов, и мы больше не возвращаем допустимые коды ответов для попыток обновления существующих вложений содержимого.

Правила поведения Предварительная версия API, доступные с помощью заголовка scarlet-witch-preview , являются устаревшими и больше не доступны в GitHub Enterprise Server 3.4. Вместо этого мы рекомендуем использовать конечную точку "Получение метрик профиля сообщества" для получения сведений о правилах поведения репозитория. Дополнительные сведения см. в разделе Уведомление об устаревании: Предварительная версия API правил поведения в журнале изменений GitHub.

Начиная с GitHub Enterprise Server 3.4, удалена нерекомендуемая версия конечных точек API приложения OAuth . Если в этих конечных точках возникают сообщения об ошибках 404, преобразуйте код в версии API приложения OAuth, которые не имеют access_tokens в URL-адресе. Мы также отключили проверку подлинности API с помощью параметров запроса. Вместо этого рекомендуется использовать проверку подлинности API в заголовке запроса.

Средство выполнения CodeQL устарело в GitHub Enterprise Server 3.4 и больше не поддерживается. Прекращение поддержки влияет только на пользователей, использующих CodeQL сканирование кода в сторонних системах CI/CD; Пользователи GitHub Actions не затрагиваются. Мы настоятельно рекомендуем клиентам перейти на интерфейс командной строки CodeQL, который является полнофункциональной заменой средства выполнения CodeQL. Дополнительные сведения см. в журнале изменений GitHub.

Начиная с GitHub Enterprise Server 3.1, поддержка собственных расширений битового кэша GitHub стала постепенно прекращена. Эти расширения устарели в GitHub Enterprise Server 3.3 и более поздних версий.

Все репозитории, которые уже присутствовали и были активны в экземпляр GitHub Enterprise Server версии 3.1 или 3.2, будут обновлены автоматически.

Репозитории, которые не были активны до обновления до GitHub Enterprise Server 3.3, могут работать неоптимальным образом, пока не будет выполнена задача обслуживания репозитория.

Чтобы запустить задачу обслуживания репозитория вручную, перейдите по ссылке https://<hostname>/stafftools/repositories/<owner>/<repository>/network для каждого затронутого репозитория и нажмите кнопку Расписание.

Средство выбора темы для GitHub Pages удалено из параметров Страницы. Дополнительные сведения о настройке тем для GitHub Pages см. в разделе Добавление темы на сайт GitHub Pages с помощью Jekyll.

MEDIUM: в консоли управления GitHub Enterprise Server обнаружена уязвимость обхода пути, которая позволяла обойти защиту CSRF. Эта уязвимость затрагивала все версии GitHub Enterprise Server до 3.5 и была исправлена в версиях 3.1.19, 3.2.11, 3.3.6, 3.4.1. Об этой уязвимости сообщили в GitHub, и ей был назначен CVE-2022-23732.

MEDIUM: в ветви 1.x и в ветви yajil 2.x обнаружена уязвимость переполнения целочисленного числа, которая приводит к последующему повреждению памяти кучи при работе с большими входными данными (~2 ГБ). Эта уязвимость была зарегистрирована внутри организации и была назначена CVE-2022-24795.

Пакеты поддержки могут включать конфиденциальные файлы, если включен GitHub Actions.

Пакеты обновлены до последних версий безопасности.

Выполнение рабочего процесса может не завершиться, если в нем используются составные действия.

При включении Dependabot ошибка приводила к тому, что некоторые рекомендации по безопасности временно считывались как неприменимые.

Процессы Minio будут иметь высокую загрузку ЦП, если бы после обновления GitHub Enterprise Serverприсутствовал старый параметр конфигурации.

Параметры для включения TLS 1.0 и TLS 1.1 в параметрах конфиденциальности консоли управления были показаны, хотя удаление этих версий протоколов выполнялось в более ранних выпусках.

В среде с высоким уровнем доступности настройка репликации MSSQL может потребовать дополнительных действий вручную после первого включения GitHub Actions.

Подмножество внутренних файлов конфигурации более надежно обновляется после горячего исправления.

Иногда ghe-run-migrations скрипту не удается правильно создать имена временных сертификатов.

Перехватчики предварительного получения, которые использовали gpg --import время ожидания, истекло из-за недостаточных syscall привилегий.

В некоторых топологиях кластера сведения о доставке веб-перехватчиков были недоступны.

На графе развертывания GitHub Actions отображается ошибка при отрисовке ожидающего задания.

Проверки работоспособности Elasticsearch не допускают желтое состояние кластера при выполнении миграций.

При использовании API миграций задания экспорта в очереди не обрабатывались.

Репозитории будут отображать нефункциональные вкладки Обсуждения в пользовательском веб-интерфейсе.

Организации, созданные в результате преобразования учетной записи пользователя в организацию, не были добавлены в глобальную корпоративную учетную запись.

Задания синхронизации пользователей LDAP завершаются сбоем при попытке синхронизировать ключи GPG, которые были синхронизированы ранее.

Ссылки на недоступные страницы были удалены.

В некоторых экземплярах наблюдается высокая загрузка ЦП из-за больших объемов ненужных фоновых заданий, помещаемых в очередь.

Пустые репозитории неправильно синхронизируются с серверами кэша.

При добавлении команды в качестве рецензента в запрос на вытягивание иногда отображается неверное число участников этой команды.

Конечная точка API для удаления членства в команде будет отвечать ошибкой при попытке удалить участника, управляемого извне через группу SCIM.

Большое количество неактивных пользователей может привести к сбою конфигурации GitHub Connect.

Страница "Регистрация компонентов & бета-версии" в пользовательском веб-интерфейсе администратора сайта была неправильно доступна.

Ссылка "Режим администрирования сайта" в нижнем колонтитуле сайта не изменила состояние при щелчке.

При использовании ghe-migrator или экспорте из GitHub.com экспорт не будет включать вложения запросов на вытягивание.

Ограничения memcached подключений были увеличены для лучшей адаптации к топологиям больших кластеров.

Ранее API Graph зависимости выполнялся со статически определенным портом.

Счетчики сегментов по умолчанию для параметров сегментов Elasticsearch, связанных с кластером, обновлены.

API миграций теперь создает экспорт репозиториев.

При фильтрации участников предприятия по роли организации на странице "Люди" текст пунктов раскрывающегося меню был улучшен.

Роли команды "Рассмотрение" и "Обслуживание" сохраняются во время миграции репозитория.

Повышена производительность веб-запросов, выполняемых владельцами предприятия.

На только что настроенном экземпляре GitHub Enterprise Server без пользователей злоумышленник может создать первого администратора.

Настраиваемые правила брандмауэра удаляются в процессе обновления.

Git LFS отслеживаемые файлы, отправленные через веб-интерфейс, неправильно добавляются непосредственно в репозиторий.

Если в GitHub Connect включен параметр "Пользователи могут выполнять поиск GitHub.com", проблемы в частных и внутренних репозиториях не включаются в результаты поиска GitHub.com.

Реестр npm GitHub Packages больше не возвращает значение времени в ответах метаданных. Это было сделано для существенного повышения производительности. Мы по-прежнему имеем все данные, необходимые для возврата значения времени в ответе метаданных, и возобновим возврат этого значения в будущем после устранения существующих проблем с производительностью.

Ограничения ресурсов, относящиеся к обработке перехватчики предварительного получения, могут привести к сбою некоторых перехватчики предварительного получения.

После регистрации локального средства выполнения с --ephemeral параметром на нескольких уровнях (например, как корпоративного, так и корпоративного) средство выполнения может зависнуть в состоянии простоя и потребовать повторной регистрации. [Обновлено: 17.06.2022]

При использовании зашифрованных утверждений SAML с GitHub Enterprise Server 3.4.0 и 3.4.1 новый XML-атрибут WantAssertionsEncrypted в SPSSODescriptor содержит недопустимый атрибут для метаданных SAML. Поставщики удостоверений, использующие эту конечную точку метаданных SAML, могут столкнуться с ошибками при проверке XML-схемы метаданных SAML. Исправление будет доступно в следующем выпуске исправления. [Обновлено: 11.04.2022]

Чтобы обойти эту проблему, можно выполнить одно из двух следующих действий.

• Перенастройте поставщика удостоверений, отправив статическую копию метаданных SAML без атрибута WantAssertionsEncrypted .
• Скопируйте метаданные SAML, удалите WantAssertionsEncrypted атрибут, разместите его на веб-сервере и перенастройте idP, чтобы он указывал на этот URL-адрес.

В некоторых случаях клиенты GitHub Advanced Security, обновившиеся до GitHub Enterprise Server 3.5 или более поздней версии, могут заметить, что оповещения о сканировании секретов отсутствуют в веб-интерфейсе и REST API. Чтобы оповещения оставались видимыми, не пропускайте версию 3.4 при обновлении с более ранней версии до версии 3.5 и выше. Проблема исправлена в выпусках исправлений 3.5.5 и 3.6.1.

Чтобы спланировать обновление через версию 3.4, см. статью Помощник по обновлению. [Обновлено: 01.09.2022]

GitHub Pages сборки могут и истекло время ожидания для экземпляров в AWS, настроенных на высокий уровень доступности. [Обновлено: 28.11.2022]

GitHub Enterprise Server 3.0 был прекращен 16 февраля 2022 г. Это означает, что после этой даты выпуски исправлений, даже для критических проблем безопасности, не будут сделаны. Для повышения производительности, повышения безопасности и новых функций как можно скорее обновите GitHub Enterprise Server до последней версии .

GitHub Enterprise Server 3.1 будет прекращен 3 июня 2022 г. Это означает, что после этой даты выпуски исправлений, даже для критических проблем безопасности, не будут сделаны. Для повышения производительности, повышения безопасности и новых функций как можно скорее обновите GitHub Enterprise Server до последней версии .

Начиная с GitHub Enterprise Server 3.3, GitHub Enterprise Server в XenServer не рекомендуется использовать и больше не поддерживается. Обратитесь в службу поддержки GitHub с вопросами или проблемами.

Из-за низкой потребления мы не рекомендуем использовать Предварительная версия API ссылок на содержимое в GitHub Enterprise Server 3.4. Ранее API был доступен с помощью заголовка corsair-preview . Пользователи могут продолжать переходить по внешним URL-адресам без этого API. При любом зарегистрированном использовании API ссылок на содержимое больше не будет получаться уведомление веб-перехватчика для URL-адресов из зарегистрированных доменов, и мы больше не возвращаем допустимые коды ответа для попыток обновления существующих вложений содержимого.

Коды поведения Предварительная версия API, доступные с помощью заголовкаscarlet-witch-preview, устарели и больше не доступны в GitHub Enterprise Server 3.4. Вместо этого мы рекомендуем использовать конечную точку "Получение метрик профиля сообщества", чтобы получить сведения о правилах поведения репозитория. Дополнительные сведения см. в разделе Уведомление об устаревании: правила поведения Предварительная версия API в журнале изменений GitHub.

Начиная с GitHub Enterprise Server 3.4, удалена нерекомендуемая версия конечных точек API приложения OAuth . Если в этих конечных точках возникают сообщения об ошибках 404, преобразуйте код в версии API приложения OAuth, которые не имеют access_tokens в URL-адресе. Мы также отключили использование проверки подлинности API с помощью параметров запроса. Вместо этого рекомендуется использовать проверку подлинности API в заголовке запроса.

Средство выполнения CodeQL устарело в GitHub Enterprise Server 3.4 и больше не поддерживается. Прекращение поддержки влияет только на пользователей, которые используют CodeQL сканирование кода в сторонних системах CI/CD; Пользователи GitHub Actions не затрагиваются. Мы настоятельно рекомендуем клиентам перейти на CodeQL CLI, который является полнофункциональной заменой средства выполнения CodeQL. Дополнительные сведения см. в журнале изменений GitHub.

Начиная с GitHub Enterprise Server 3.1, поддержка собственных расширений битового кэша GitHubстала постепенно прекращена. Эти расширения являются устаревшими в GitHub Enterprise Server 3.3 и более поздних версий.

Все репозитории, которые уже присутствовали и активировались в экземпляр GitHub Enterprise Server под управлением версии 3.1 или 3.2, будут обновлены автоматически.

Репозитории, которые не присутствовали и не были активны до обновления до GitHub Enterprise Server 3.3, могут не работать оптимально, пока задача обслуживания репозитория не будет успешно завершена.

Чтобы запустить задачу обслуживания репозитория вручную, перейдите по ссылке https://<hostname>/stafftools/repositories/<owner>/<repository>/network для каждого затронутого репозитория и нажмите кнопку Запланировать.

Клиенты GitHub Advanced Security теперь могут использовать REST API для получения сведений о фиксации секретов, обнаруженных при проверке частного репозитория. Новая конечная точка возвращает сведения о первом обнаружении секрета в файле, включая расположение секрета и фиксацию SHA. Дополнительные сведения см. в разделе Сканирование секретов документации по REST API.

Владельцы предприятий и организаций теперь могут экспортировать данные об использовании лицензий GitHub Advanced Security в CSV-файл. Данные о выставлении счетов Advanced Security также можно получить через конечные точки выставления счетов в REST API. Дополнительные сведения см. в разделе "Журнал измененийGitHub".

Теперь вы можете повторно использовать целые рабочие процессы, как если бы они были действием. Эта функция доступна в общедоступной бета-версии. Вместо копирования и вставки определений рабочих процессов в репозиториях теперь можно ссылаться на существующий рабочий процесс с одной строкой конфигурации. Дополнительные сведения см. в разделе "Журнал измененийGitHub".

Dependabot теперь доступен в GitHub Enterprise Server 3.4 в общедоступной бета-версии, предлагая обновления версий и обновления для системы безопасности для нескольких популярных экосистем. Dependabot в GitHub Enterprise Server требуется GitHub Actions и пул локальных средств выполнения, настроенных для использования Dependabot. Dependabot в GitHub Enterprise Server также требует, чтобы GitHub Connect и Dependabot были включены администратором. Отзывы и предложения бета-версии можно отправить в Dependabot в обсуждении отзывов на GitHub. Дополнительные сведения и опробовать бета-версию см. в разделе Настройка обновлений безопасности и версий Dependabot на предприятии.

Если вы используете проверку подлинности SAML для GitHub Enterprise Server, теперь можно настроить зашифрованные утверждения из поставщика удостоверений для повышения безопасности. Зашифрованные утверждения добавляют дополнительный уровень шифрования, когда поставщик удостоверений передает сведения в экземпляр GitHub Enterprise Server. Дополнительные сведения см. в разделе Использование SAML.

В GitHub Mobile для iOS 1.80.0 и более поздних версий пользователи теперь могут редактировать файлы в ветви раздела запроса на вытягивание. Поддержка редактирования файлов будет добавлена в GitHub Mobile для Android в будущем выпуске. [Обновлено: 13.09.2022]

Теперь пользователи могут выбирать количество пробелов, равных вкладке, задавая предпочтительный размер вкладки в параметрах "Внешний вид" своей учетной записи пользователя. Весь код с отступом табуляции будет отображаться с использованием предпочтительного размера вкладки.

Запись подключения к данным GitHub Connect теперь включает количество активных и неактивных пользователей и настроенный период бездейству.

Теперь вы можете предоставить пользователям доступ к корпоративным ссылкам, добавив пользовательские нижние колонтитулы в GitHub Enterprise Server. Дополнительные сведения см. в разделе Настройка пользовательских нижних колонтитулов.

WireGuard, используемый для защиты обмена данными между экземплярами GitHub Enterprise Server в конфигурации высокой доступности, был перенесен в реализацию ядра.

Владельцы организации теперь могут отменить подписку на Уведомления по электронной почте при добавлении новых ключей развертывания в репозитории, принадлежащие их организациям. Дополнительные сведения см. в разделе Настройка уведомлений.

Сообщения электронной почты с уведомлениями о недавно созданных проблемах и запросах на вытягивание теперь включают (Issue #xx) или (PR #xx) в тему сообщения электронной почты, поэтому вы можете распознавать и фильтровать сообщения электронной почты, ссылающиеся на эти типы проблем.

Теперь организации могут отображать файл в README.md своем профиле Обзор. Дополнительные сведения см. в разделе "Журнал измененийGitHub".

Теперь участники организаций могут просматривать список владельцев своих предприятий на вкладке "Люди" организации. Список владельцев предприятия теперь также доступен с помощью API GraphQL. Дополнительные сведения см. в поле "enterpriseOwners" в разделе Объекта Organization документации по API GraphQL.

Раздел "Управление доступом" теперь отображается на странице "Участники совместной работы и команды" в параметрах репозитория. Новый раздел упрощает администраторам репозитория просмотр и управление доступом к репозиторию, а также уровнем доступа, предоставленным каждому пользователю. Теперь администраторы могут:

• Поиск всех участников, команд и участников совместной работы, имеющих доступ к репозиторию.
• Просматривайте, когда участники имеют смешанные назначения ролей, предоставленные им непосредственно в качестве отдельных лиц или косвенно через команду. Это визуализируется с помощью нового предупреждения о смешанных ролях, в котором отображается роль самого высокого уровня, предоставляемая пользователю, если уровень разрешений выше, чем назначенная ему роль.
• Надежно управляйте доступом к популярным репозиториям с разбивкой на страницы и меньшим временем ожидания, когда у больших групп пользователей есть доступ.

GitHub Enterprise Server 3.4 включает усовершенствования в приглашении репозитория, такие как уведомления о приглашениях в частный репозиторий, запрос пользовательского интерфейса при посещении частного репозитория, для которых у вас ожидается приглашение, и баннер на странице обзора общедоступный репозиторий при наличии ожидающего приглашения.

Теперь для пользовательских автоматических ссылок можно использовать односимвольный префикс. Префиксы автоматической связи теперь также позволяют .использовать символы , -, _, +``=, :, /и # , а также буквенно-цифровые символы. Дополнительные сведения о настраиваемых автоматических ссылках см. в разделе Настройка автоматических ссылок на внешние ресурсы.

Файл CODE_OF_CONDUCT.md в корне репозитория теперь выделен на боковой панели "О программе" на странице обзора репозитория.

GitHub Enterprise Server 3.4 включает улучшения пользовательского интерфейса выпусков, например автоматически создаваемые заметки о выпуске, в которых отображается сводка по всем запросам на вытягивание для данного выпуска. Дополнительные сведения см. в разделе "Журнал измененийGitHub".

После публикации выпуска в нижней части выпуска отображается список аватаров. Отображаются аватары для всех учетных записей пользователей, упомянутых в заметках о выпуске. Дополнительные сведения см. в разделе Управление выпусками в репозитории.

Теперь вы можете использовать новую страницу параметров "Специальные возможности" для управления сочетаниями клавиш. Вы можете отключить сочетания клавиш, использующие только отдельные символы, такие как S, G C и . (ключ точки). Дополнительные сведения см. в разделе "Журнал измененийGitHub".

Теперь вы можете использовать шрифт фиксированной ширины в полях с поддержкой Markdown, например комментарии о проблемах и описания запросов на вытягивание. Дополнительные сведения см. в разделе "Журнал измененийGitHub".

Теперь вы можете вставить URL-адрес в выделенный текст, чтобы быстро создать ссылку Markdown. Это работает во всех полях с поддержкой Markdown, таких как комментарии к проблеме и описания запросов на вытягивание. Дополнительные сведения см. в разделе "Журнал измененийGitHub".

URL-адрес изображения теперь можно добавить с контекстом темы, например #gh-dark-mode-only, чтобы определить, как изображение Markdown отображается в средстве просмотра. Дополнительные сведения см. в разделе "Журнал измененийGitHub".

При создании или редактировании файла gist с расширением Markdown (.md) теперь можно использовать вкладку "Предварительный просмотр" или "Предварительный просмотр изменений", чтобы отобразить отрисовку содержимого файла в Markdown. Дополнительные сведения см. в разделе "Журнал измененийGitHub".

При вводе имени пользователя GitHub в проблемах, запросах @mention на вытягивание и обсуждениях средство подбора теперь ранжирует существующих участников выше, чем другие пользователи GitHub, поэтому с большей вероятностью будет указан нужный пользователь.

Языки справа налево теперь поддерживаются в файлах, проблемах, запросах на вытягивание, обсуждениях и комментариях Markdown.

Параметр diff для скрытия изменений пробелов на вкладке "Файлы изменены" запроса на вытягивание теперь сохраняется для вашей учетной записи пользователя для этого запроса на вытягивание. Выбранный параметр автоматически применяется повторно, если вы перейдете со страницы на вкладку "Файлы изменены" того же запроса на вытягивание.

При использовании автоматического назначения для проверки кода запроса на вытягивание теперь можно уведомлять только запрошенных участников команды независимо от параметров автоматического назначения. Этот параметр полезен в сценариях, когда многие пользователи назначаются автоматически, но не всем пользователям требуется уведомление. Дополнительные сведения см. в разделе "Журнал измененийGitHub".

Администраторы организации и репозитория теперь могут активировать веб-перехватчики для прослушивания изменений в правилах защиты ветвей в своих репозиториях. Дополнительные сведения см. в описании события branch_protection_rule в документации по событиям и полезным данным веб-перехватчиков.

При настройке защищенных ветвей теперь можно принудительно использовать обязательная проверка состояния, предоставляемые определенным GitHub App. Если состояние затем предоставляется другим приложением или пользователем через состояние фиксации, слияние не допускается. Это гарантирует, что все изменения будут проверены предполагаемым приложением. Дополнительные сведения см. в разделе "Журнал измененийGitHub".

Только пользователи с разрешениями администратора теперь могут переименовывать защищенные ветви и изменять правила защиты ветвей. Ранее, за исключением ветвь по умолчанию, участники совместной работы могли переименовать ветвь, и, следовательно, любые правила защиты ветвей без подстановочных знаков, применяемые к этой ветви, также были переименованы. Дополнительные сведения см. в разделах Переименование ветви и Управление правилом защиты ветви.

Теперь администраторы могут разрешать обходить требования к запросу на вытягивание только определенным пользователям и командам. Дополнительные сведения см. в журнале измененийGitHub.

Теперь администраторы могут разрешать принудительная отправка в репозиторий только определенным пользователям и командам. Дополнительные сведения см. в журнале измененийGitHub.

Если требуются запросы на вытягивание для всех изменений в защищенная ветвь, администраторы теперь могут выбрать, являются ли утвержденные проверки обязательным требованием. Дополнительные сведения см. в журнале измененийGitHub.

Рабочие процессы GitHub Actions, активированные Dependabot для createсобытий , и deployment_status , deploymentтеперь всегда получают маркер только для чтения и без секретов. Аналогичным образом рабочие процессы, активированные Dependabot для события в запросах на вытягивание, где ссылка на базу была создана Dependabot, теперь всегда получают маркер только для pull_request_target чтения и без секретов. Эти изменения предназначены для предотвращения выполнения потенциально вредоносного кода в привилегированном рабочем процессе. Дополнительные сведения см. в разделе Автоматизация Dependabot с помощью GitHub Actions.

Запуски push рабочих процессов и pull_request события, активированные Dependabot, теперь будут учитывать разрешения, указанные в рабочих процессах, что позволяет управлять автоматическим обновлением зависимостей. Разрешения маркера по умолчанию останутся доступны только для чтения. Дополнительные сведения см. в журнале измененийGitHub.

Рабочие процессы GitHub Actions, активируются Dependabot теперь будут отправлять секреты Dependabot. Теперь вы можете извлекать данные из частных реестров пакетов в ci, используя те же секреты, которые вы настроили для использования Dependabot, что улучшает совместную работу GitHub Actions и Dependabot. Дополнительные сведения см. в разделе Автоматизация Dependabot с помощью GitHub Actions.

Теперь вы можете управлять группами средств выполнения и просматривать состояние локальных средств выполнения с помощью новых страниц средств выполнения и групп средств выполнения в пользовательском интерфейсе. На странице Параметры действий для репозитория или организации теперь отображается сводное представление средств выполнения тестов и вы можете подробно изучить конкретное средство выполнения, чтобы изменить его или узнать, какое задание оно может выполнять в данный момент. Дополнительные сведения см. в журнале измененийGitHub.

Теперь авторы действий могут выполнять свои действия в Node.js 16, указав runs.using значение в node16 action.yml. Это дополнение к существующей поддержке Node.js 12; Действия могут по-прежнему указывать runs.using: node12 для использования среды выполнения Node.js 12.

Для рабочих процессов, запускаемых вручную, GitHub Actions теперь поддерживает choiceтипы входных данных , booleanи environment в дополнение к типу по умолчанию string . Дополнительные сведения см. в разделе о on.workflow_dispatch.inputs.

Действия, написанные на языке YAML, также известные как составные действия, теперь поддерживают if условия. Это позволяет предотвратить выполнение определенных шагов, если условие не выполнено. Как и шаги, определенные в рабочих процессах, для создания условия можно использовать любой поддерживаемый контекст и выражение.

Поведение порядка поиска для локальных средств выполнения тестов теперь изменилось, поэтому первое доступное соответствующее средство выполнения на любом уровне будет выполнять задание во всех случаях. Это позволяет гораздо быстрее отправлять задания в локальные средства выполнения тестов, особенно для организаций и предприятий с большим количеством локальных средств выполнения. Ранее при выполнении задания, которому требовалось локальное средство выполнения тестов, GitHub Actions искал локальные средства выполнения в репозитории, организации и на предприятии в этом порядке.

Метки средств выполнения для локальных средств выполнения GitHub Actions теперь можно перечислять, добавлять и удалять с помощью REST API. Дополнительные сведения об использовании новых API на уровне репозитория, организации или предприятия см. в разделах "Репозитории", "Организации" и "Предприятия" в документации по REST API.

Граф зависимостей теперь поддерживает обнаружение зависимостей Python в репозиториях, использующих диспетчер пакетов Poetry. Зависимости будут обнаружены как в файлах манифеста, так pyproject.toml и poetry.lock в файлах манифеста.

При настройке обновлений безопасности и версий Dependabot на GitHub Enterprise Server рекомендуется также включить Dependabot в GitHub Connect. Это позволит Dependabot получить обновленный список зависимостей и уязвимостей из GitHub.com путем запроса таких сведений, как журналы изменений общедоступных выпусков открытый код кода, от которого вы зависите. Дополнительные сведения см. в разделе Включение оповещений граф зависимостей и Dependabot для вашего предприятия.

Оповещения Dependabot alerts теперь можно закрыть с помощью API GraphQL. Дополнительные сведения см. в описании изменения "dismissRepositoryVulnerabilityAlert" в документации по API GraphQL.

Интерфейс командной строки CodeQL теперь поддерживает включение справки по запросам, отрисованным с помощью Markdown, в ФАЙЛЫ SARIF, чтобы текст справки можно было просматривать в пользовательском интерфейсе code scanning, когда запрос создает оповещение. Дополнительные сведения см. в журнале измененийGitHub.

Интерфейс командной строки CodeQL и расширение Visual Studio Code теперь поддерживают создание баз данных и анализ кода на компьютерах под управлением Apple Silicon, таких как Apple M1. Дополнительные сведения см. в журнале измененийGitHub.

Глубина анализа CodeQL была улучшена благодаря добавлению поддержки дополнительных библиотек и платформ из экосистемы Python. В результате CodeQL теперь может обнаруживать еще больше потенциальных источников ненадежных пользовательских данных, шаги, через которые они передаются, и потенциально опасные приемники, в которых могут оказаться данные. Это приводит к общему улучшению качества оповещений code scanning. Дополнительные сведения см. в журнале измененийGitHub.

Сканирование кода с помощью CodeQL теперь включает поддержку бета-версии для анализа кода во всех распространенных версиях Ruby, вплоть до версии 3.02. Дополнительные сведения см. в журнале измененийGitHub.

В API code scanning внесено несколько улучшений:

• Метка fixed_at времени добавлена в оповещения. Эта метка времени — это первый случай, когда оповещение не было обнаружено при анализе.
• Теперь результаты оповещений можно отсортировать с помощью sort и direction в created, updated или number. Дополнительные сведения см. в разделе Вывод списка оповещений проверки кода для репозитория.
• В Last-Modified оповещения и ответ конечной точки оповещения добавлен заголовок. Дополнительные сведения см Last-Modified . в документации mozilla.
• Поле relatedLocations было добавлено в ответ SARIF при запросе анализа сканирования кода. Поле может содержать расположения, которые не являются основным расположением оповещения. См. пример в спецификации SARIF , а дополнительные сведения см. в разделе Получение анализа проверки кода для репозитория.
• Данные help и tags были добавлены в объект правила генерации оповещений ответа веб-перехватчика. Дополнительные сведения см. в разделе События и полезные данные веб-перехватчиков оповещений при сканировании кода.
• Личные маркеры доступа с public_repo область теперь имеют доступ на запись для конечных точек сканирования кода в общедоступных репозиториях, если у пользователя есть разрешение.

Дополнительные сведения см. в разделе "Проверка кода" документации по REST API.

Клиенты GitHub Advanced Security теперь могут использовать REST API для получения результатов проверки секретов частного репозитория на уровне предприятия. Новая конечная точка дополняет существующие конечные точки уровня репозитория и организации. Дополнительные сведения см. в разделе "Проверка секретов" в документации по REST API.

Поддержка GitHub Mobile теперь включена по умолчанию для новых экземпляров GitHub Enterprise Server. Если вы явно не отключили или не включили GitHub Mobile, GitHub Mobile будет включен при обновлении до GitHub Enterprise Server 3.4.0 или более поздней версии. Если вы ранее отключили или включили GitHub Mobile для экземпляра, то предпочтительные параметры будут сохранены при обновлении. Дополнительные сведения см. в разделе Управление GitHub Mobile для вашего предприятия.

В только что настроенном экземпляре GitHub Enterprise Server без пользователей злоумышленник может создать первого администратора.

Пользовательские правила брандмауэра удаляются в процессе обновления.

Git LFS отслеживаемые файлы, отправленные через веб-интерфейс, неправильно добавляются непосредственно в репозиторий.

Если в GitHub Connect включен параметр "Пользователи могут искать GitHub.com", проблемы в частных и внутренних репозиториях не включаются в результаты поиска GitHub.com.

Реестр npm GitHub Packages больше не возвращает значение времени в ответах метаданных. Это было сделано для существенного улучшения производительности. Мы по-прежнему имеем все данные, необходимые для возврата значения времени в ответе метаданных, и возобновим возврат этого значения в будущем, как только мы устраним существующие проблемы с производительностью.

Ограничения ресурсов, относящиеся к обработке перехватчики предварительного получения, могут привести к сбою некоторых перехватчики предварительного получения.

Службы действий необходимо перезапустить после восстановления (модуль) из резервной копии, созданной на другом узле.

После регистрации локального средства выполнения тестов с параметром --ephemeral на нескольких уровнях (например, как на предприятии, так и в организации) средство выполнения может зависнуть в состоянии простоя и потребовать повторной регистрации. [Обновлено: 17.06.2022]

При использовании зашифрованных утверждений SAML с GitHub Enterprise Server 3.4.0 и 3.4.1 новый АТРИБУТ WantAssertionsEncrypted XML в SPSSODescriptor содержит недопустимый атрибут для метаданных SAML. Поставщики удостоверений, использующие эту конечную точку метаданных SAML, могут столкнуться с ошибками при проверке СХЕМЫ XML метаданных SAML. Исправление будет доступно в следующем выпуске исправлений. [Обновлено: 11.04.2022]

Чтобы обойти эту проблему, можно выполнить одно из двух следующих действий.

• Перенастройка поставщика удостоверений путем отправки статической копии метаданных SAML без атрибута WantAssertionsEncrypted .
• Скопируйте метаданные SAML, удалите WantAssertionsEncrypted атрибут, разместите его на веб-сервере и перенастройте поставщик удостоверений, чтобы он указывал на этот URL-адрес.

В некоторых случаях клиенты GitHub Advanced Security, обновившиеся до GitHub Enterprise Server 3.5 или более поздней версии, могут заметить, что оповещения о сканировании секретов отсутствуют в веб-интерфейсе и REST API. Чтобы оповещения оставались видимыми, не пропускайте версию 3.4 при обновлении с более ранней версии до версии 3.5 и выше. Проблема исправлена в выпусках исправлений 3.5.5 и 3.6.1.

Чтобы спланировать обновление через версию 3.4, см. статью Помощник по обновлению. [Обновлено: 01.09.2022]

GitHub Pages сборки могут искать время ожидания для экземпляров в AWS, настроенных для обеспечения высокой доступности. [Обновлено: 28.11.2022]

Поддержка GitHub Enterprise Server 3.0 прекращена 16 февраля 2022 г. Это означает, что после этой даты выпуски исправлений не будут производиться даже для критических проблем безопасности. Для повышения производительности, повышения безопасности и новых функций как можно скорее обновите GitHub Enterprise Server до последней версии .

GitHub Enterprise Server 3.1 будет прекращен 3 июня 2022 г. Это означает, что после этой даты выпуски исправлений, даже для критических проблем безопасности, не будут сделаны. Для повышения производительности, повышения безопасности и новых функций как можно скорее обновите GitHub Enterprise Server до последней версии .

Начиная с GitHub Enterprise Server 3.3, GitHub Enterprise Server в XenServer не рекомендуется использовать и больше не поддерживается. Обратитесь в службу поддержки GitHub с вопросами или проблемами.

Из-за низкой потребления мы не рекомендуем использовать Предварительная версия API ссылок на содержимое в GitHub Enterprise Server 3.4. Ранее API был доступен с помощью заголовка corsair-preview . Пользователи могут продолжать переходить по внешним URL-адресам без этого API. При любом зарегистрированном использовании API ссылок на содержимое больше не будет получаться уведомление веб-перехватчика для URL-адресов из зарегистрированных доменов, и мы больше не возвращаем допустимые коды ответа для попыток обновления существующих вложений содержимого.

Коды поведения Предварительная версия API, доступные с помощью заголовкаscarlet-witch-preview, устарели и больше не доступны в GitHub Enterprise Server 3.4. Вместо этого мы рекомендуем использовать конечную точку "Получение метрик профиля сообщества", чтобы получить сведения о правилах поведения репозитория. Дополнительные сведения см. в разделе Уведомление об устаревании: правила поведения Предварительная версия API в журнале изменений GitHub.

Начиная с GitHub Enterprise Server 3.4, удалена нерекомендуемая версия конечных точек API приложения OAuth . Если в этих конечных точках возникают сообщения об ошибках 404, преобразуйте код в версии API приложения OAuth, которые не имеют access_tokens в URL-адресе. Мы также отключили использование проверки подлинности API с помощью параметров запроса. Вместо этого рекомендуется использовать проверку подлинности API в заголовке запроса.

Средство выполнения CodeQL устарело в GitHub Enterprise Server 3.4 и больше не поддерживается. Прекращение поддержки влияет только на пользователей, которые используют CodeQL сканирование кода в сторонних системах CI/CD; Пользователи GitHub Actions не затрагиваются. Мы настоятельно рекомендуем клиентам перейти на CodeQL CLI, который является полнофункциональной заменой средства выполнения CodeQL. Дополнительные сведения см. в журнале изменений GitHub.

Начиная с GitHub Enterprise Server 3.1, поддержка собственных расширений битового кэша GitHubстала постепенно прекращена. Эти расширения являются устаревшими в GitHub Enterprise Server 3.3 и более поздних версий.

Все репозитории, которые уже присутствовали и активировались в экземпляр GitHub Enterprise Server под управлением версии 3.1 или 3.2, будут обновлены автоматически.

Репозитории, которые не присутствовали и не были активны до обновления до GitHub Enterprise Server 3.3, могут не работать оптимально, пока задача обслуживания репозитория не будет успешно завершена.

Чтобы запустить задачу обслуживания репозитория вручную, перейдите по ссылке https://<hostname>/stafftools/repositories/<owner>/<repository>/network для каждого затронутого репозитория и нажмите кнопку Запланировать.

GitHub Connect больше не будет работать после 3 июня для экземпляров под управлением GitHub Enterprise Server 3.1 или более ранней версии из-за изменения формата маркеров проверки подлинности GitHub. Дополнительные сведения см. в журнале изменений GitHub. [Обновлено: 14.06.2022]