Отключение или ограничение GitHub Actions для вашей организации

Сведения о разрешениях GitHub Actions для вашей организации

По умолчанию GitHub Actions включен для всех репозиториев и организаций. Вы можете отключить GitHub Actions или ограничить его действиями и повторно используемыми рабочими процессами в organization. Дополнительные сведения о GitHub Actionsсм. в разделе Написание рабочих процессов.

Вы можете включить GitHub Actions для всех репозиториев в организации. Если включить GitHub Actions, рабочие процессы могут выполнять действия и повторно используемые рабочие процессы в репозитории и любой другой public репозитория. Вы можете отключить GitHub Actions для всех репозиториев в организации. При отключении GitHub Actions рабочие процессы в репозитории не выполняются.

Кроме того, можно включить GitHub Actions для всех репозиториев в организации, но при этом ограничить действия и повторно используемые рабочие процессы, которые могут выполняться рабочим процессом.

Управление разрешениями GitHub Actions для организации

Вы можете отключить GitHub Actions для всех репозиториев в вашей организации или разрешить только для определенных репозиториев. Вы также можете ограничить использование общедоступных действий и повторно используемых рабочих процессов, чтобы пользователи могли использовать только локальные действия и повторно используемые рабочие процессы в organization.

1. В правом верхнем углу GitHub, щелкните рисунок профиля, а затем выберите октикона "организация" aria-hidden="true" aria-label="organization" %} Ваши организации.

2. Выберите организацию, кликнув по ней.

3. Под именем организации щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

   

4. На левой боковой панели щелкните Actions, а затем нажмите кнопку "Общие".

5. В разделе "Политики" выберите параметр.

   Если выбрать Разрешить владельцу, а также выбрать не-OWNER___, действия и повторно используемые рабочие процессы** , действия и повторно используемые рабочие процессы в пределах organization разрешены, и существуют дополнительные параметры для разрешения других конкретных действий и повторно используемых рабочих процессов. Дополнительные сведения см. в разделе "Разрешить выбор действий и повторно используемых рабочих процессов для выполнения.

   Если разрешить действия и повторно использовать рабочие процессы только в organization, политика блокирует доступ ко всем действиям, созданным GitHub. Например, действие actions/checkout будет недоступно.

   Если включить закрепление действий на полную длину фиксации SHA, все действия должны быть закреплены на полной длине фиксации SHA для использования. Это включает действия из organization и действия, созданные GitHub. Повторно используемые рабочие процессы по-прежнему можно ссылаться по тегу. Дополнительные сведения см. в разделе Справочник по безопасному использованию.

6. Нажмите кнопку Сохранить.

Разрешение выполнения выбранных действий и повторно используемых рабочих процессов

При выборе Разрешить владельцу, а также выбрать не-OWNER___, действия и повторно используемые рабочие процессы** разрешаются локальные действия и повторно используемые рабочие процессы. Для разрешения других конкретных действий и повторно используемых рабочих процессов доступны дополнительные параметры:

•         **Разрешить действия, созданные с помощью GitHub:** все действия, созданные с помощью GitHub, можно разрешить использовать рабочими процессами. Действия, созданные с помощью GitHub, находятся в `actions` и в организациях `github`. Дополнительные сведения см. в [`actions`](https://github.com/actions) и организациях [`github`](https://github.com/github).
  

•         **Разрешить действия Marketplace проверенным создателям:**  Можно разрешить все действия GitHub Marketplace , созданные проверенными создателями, которые будут использоваться рабочими процессами. Когда GitHub проверит автора действия в качестве партнерской организации, рядом с действием в GitHub Marketplace появится значок <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-verified" aria-label="The verified badge" role="img"><path d="m9.585.52.929.68c.153.112.331.186.518.215l1.138.175a2.678 2.678 0 0 1 2.24 2.24l.174 1.139c.029.187.103.365.215.518l.68.928a2.677 2.677 0 0 1 0 3.17l-.68.928a1.174 1.174 0 0 0-.215.518l-.175 1.138a2.678 2.678 0 0 1-2.241 2.241l-1.138.175a1.17 1.17 0 0 0-.518.215l-.928.68a2.677 2.677 0 0 1-3.17 0l-.928-.68a1.174 1.174 0 0 0-.518-.215L3.83 14.41a2.678 2.678 0 0 1-2.24-2.24l-.175-1.138a1.17 1.17 0 0 0-.215-.518l-.68-.928a2.677 2.677 0 0 1 0-3.17l.68-.928c.112-.153.186-.331.215-.518l.175-1.14a2.678 2.678 0 0 1 2.24-2.24l1.139-.175c.187-.029.365-.103.518-.215l.928-.68a2.677 2.677 0 0 1 3.17 0ZM7.303 1.728l-.927.68a2.67 2.67 0 0 1-1.18.489l-1.137.174a1.179 1.179 0 0 0-.987.987l-.174 1.136a2.677 2.677 0 0 1-.489 1.18l-.68.928a1.18 1.18 0 0 0 0 1.394l.68.927c.256.348.424.753.489 1.18l.174 1.137c.078.509.478.909.987.987l1.136.174a2.67 2.67 0 0 1 1.18.489l.928.68c.414.305.979.305 1.394 0l.927-.68a2.67 2.67 0 0 1 1.18-.489l1.137-.174a1.18 1.18 0 0 0 .987-.987l.174-1.136a2.67 2.67 0 0 1 .489-1.18l.68-.928a1.176 1.176 0 0 0 0-1.394l-.68-.927a2.686 2.686 0 0 1-.489-1.18l-.174-1.137a1.179 1.179 0 0 0-.987-.987l-1.136-.174a2.677 2.677 0 0 1-1.18-.489l-.928-.68a1.176 1.176 0 0 0-1.394 0ZM11.28 6.78l-3.75 3.75a.75.75 0 0 1-1.06 0L4.72 8.78a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L7 8.94l3.22-3.22a.751.751 0 0 1 1.042.018.751.751 0 0 1 .018 1.042Z"></path></svg>.
  

•         **Разрешить или block указанные действия и повторно используемых рабочих процессов:** можно ограничить рабочие процессы для использования действий и повторно используемых рабочих процессов в определенных организациях и репозиториях. Указанные действия нельзя задать более 1000.
  

  Чтобы ограничить доступ к определенным тегам или зафиксировать SHA действия или повторно используемого рабочего процесса, используйте синтаксис для выбора действия или повторно используемого рабочего процесса в рабочих процессах.

  • Для действия используется синтаксис OWNER/REPOSITORY@TAG-OR-SHA. Например, используйте actions/javascript-action@v1.0.1, чтобы выбрать тег или actions/javascript-action@a824008085750b8e136effc585c3cd6082bd575f для выбора SHA. Дополнительные сведения см. в разделе Использование стандартных блоков в рабочем процессе.
  • Для многократно используемого рабочего процесса используется синтаксис OWNER/REPOSITORY/PATH/FILENAME@TAG-OR-SHA. Например, octo-org/another-repo/.github/workflows/workflow.yml@v1. Дополнительные сведения см. в разделе Повторное использование рабочих процессов.

  Подстановочный знак * можно использовать для сопоставления шаблонов. Например, чтобы разрешить все действия и повторно используемые рабочие процессы в организациях, начинающихся на space-org, можно указать space-org*/*. Чтобы разрешить все действия и повторно используемые рабочие процессы в репозиториях, начинающихся на octocat, можно использовать */octocat**@*. Дополнительные сведения об использовании подстановочного * знака см. в разделе Синтаксис рабочего процесса для GitHub Actions.

  Используется , для разделения шаблонов. Например, чтобы разрешить все действия и повторно используемых рабочих процессов из и octocat``octokit организаций, можно указать octocat/*, octokit/*.

  Используйте ! префикс для блокировки шаблонов. Например, чтобы разрешить все действия и повторно используемых рабочих процессов из space-org организации, но заблокировать определенное действие, например space-org/action, можно указать space-org/*, !space-org/action@*. По умолчанию разрешены только действия и повторно используемые рабочие процессы в списке. Чтобы разрешить все действия и повторно используемых рабочих процессов и блокировать определенные действия, можно указать *, !space-org/action@*.

В этой процедуре показано, как добавить в список определенные действия и повторно используемых рабочих процессов в список.

1. В правом верхнем углу GitHub, щелкните рисунок профиля, а затем выберите октикона "организация" aria-hidden="true" aria-label="organization" %} Ваши организации.

2. Выберите организацию, кликнув по ней.

3. Под именем организации щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

   

4. На левой боковой панели щелкните Actions, а затем нажмите кнопку "Общие".

5. В разделе "Политики" выберите Разрешить владельцу, а также выбрать не-OWNER___, действия и повторно используемые рабочие процессы** и добавьте в список необходимые действия и повторно используемые рабочие процессы.

6. Нажмите кнопку Сохранить.

Ограничение использования локальных модулей выполнения

Нет никакой гарантии, что локальные модули выполнения для GitHub будут размещаться на временных виртуальных машинах. В результате они могут быть скомпрометированы ненадежным кодом в рабочем процессе.

Аналогичным образом, любой пользователь, который может вилировать репозиторий и открыть запрос на вытягивание (как правило, те, кто имеет доступ на чтение к репозиторию), может скомпрометировать локальную среду выполнения, включая получение доступа к секретам и GITHUB_TOKEN тем, что в зависимости от его параметров может предоставить доступ на запись в репозиторий. Хотя рабочие процессы могут контролировать доступ к секретам окружения с помощью окружений и обязательных проверок, эти рабочие процессы не запускаются в изолированном окружении и по-прежнему подвержены тем же рискам при запуске в средстве выполнения тестов локального размещения.

По этим и другим причинам вы можете запретить пользователям создавать локальные модули выполнения на уровне репозитория.

Если репозиторий уже имеет локальные модули выполнения при отключении их использования, они будут перечислены с состоянием "Отключено", и они не будут назначены новым заданиям рабочего процесса.

1. В правом верхнем углу GitHub, щелкните рисунок профиля, а затем выберите октикона "организация" aria-hidden="true" aria-label="organization" %} Ваши организации.

2. Выберите организацию, кликнув по ней.

3. Под именем организации щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

   

4. На левой боковой панели щелкните Actions, а затем нажмите кнопку "Общие".

5. В разделе "Runners" используйте раскрывающееся меню, чтобы выбрать предпочитаемый параметр: * Все репозитории — локальные модули выполнения можно использовать для любого репозитория в вашей организации. * Выбранные репозитории — локальные средства выполнения можно использовать только для выбранных репозиториев. * ** ** Отключено. Не удается создать локальные модули выполнения на уровне репозитория.

6. Если выбрать выбранные репозитории:

   1. Щелкните .
   2. Установите флажки для репозиториев, для которых требуется разрешить локальные модули выполнения.
   3. Щелкните "Выбрать репозитории".

Настройка требуемого утверждения для рабочих процессов из общедоступных вилок

Любой пользователь может создать вилку общедоступного репозитория, а затем отправить запрос на вытягивание, предлагающий изменения в рабочих процессах GitHub Actions. Хотя рабочие процессы из вилок не имеют доступа к конфиденциальным данным, таким как секреты, они могут раздражать координаторов, если происходят чрезмерные ненужные изменения.

Чтобы избежать этого, рабочие процессы по запросам на вытягивание к общедоступным репозиториям от некоторых сторонних участников не будут выполняться автоматически и, возможно, сначала потребуется их утверждение. В зависимости от параметра "Утверждение для запуска рабочих процессов запроса на вытягивание из участников", рабочие процессы по запросу на вытягивание в общедоступные репозитории не будут выполняться автоматически и могут потребовать утверждения, если:

• Запрос на вытягивание создается пользователем , требующим утверждений на основе выбранной политики.
• Событие запроса на вытягивание активируется пользователем, требующим утверждений на основе выбранной политики.

По умолчанию все участники, которые делают вклад впервые, должны получить утверждение для запуска рабочих процессов.

Рабочие процессы, активированные событиямиpull_request_target, выполняются в контексте базовая ветвь. Так как базовая ветвь считается доверенной, рабочие процессы, активированные этими событиями, всегда будут выполняться независимо от параметров утверждения. Дополнительные сведения о событии pull_request_target см. в разделе События, инициирующие рабочие процессы.

Можно настроить это поведение для организации, выполнив указанную ниже процедуру. Изменение этого параметра переопределяет набор конфигураций на уровне предприятия.

1. В правом верхнем углу GitHub, щелкните рисунок профиля, а затем выберите октикона "организация" aria-hidden="true" aria-label="organization" %} Ваши организации.

2. Выберите организацию, кликнув по ней.

3. Под именем организации щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

   

4. На левой боковой панели щелкните Actions, а затем нажмите кнопку "Общие".

5. В разделе "Утверждение" для выполнения рабочих процессов запроса на вытягивание вилки от участников выберите, какой подмножество пользователей потребует утверждения перед выполнением рабочих процессов в запросах на вытягивание. Автор запроса на вытягивание и субъект события запроса на вытягивание, запускающие рабочий процесс, будут проверены, чтобы определить, требуется ли утверждение. Если требуется утверждение, пользователь с доступом на запись в репозиторий должен утвердить рабочий процесс запроса на вытягивание для запуска. См . раздел AUTOTITLE.

   Предупреждение

   Если требуется утверждение только для участников первого раза (первые два параметра), пользователь с любым запросом фиксации или извлечения, объединенным в репозиторий, не будет требовать утверждения. Злоумышленник может соответствовать этому требованию, получив простое опечатка или другое безобидное изменение, принятое обработчиком, либо в рамках запроса на вытягивание, созданного или в рамках запроса на вытягивание другого пользователя.

   • Требовать утверждения для участников первого раза, которые являются новыми для GitHub. Только пользователи, которые являются новыми для GitHub и которые никогда не имели фиксации или запроса на вытягивание, объединенные в этот репозиторий, потребуют утверждения для выполнения рабочих процессов.
   • Требовать утверждения для участников первого раза. Только пользователям, у которых никогда не было запроса фиксации или извлечения, объединенных в этот репозиторий, потребуется утверждение для выполнения рабочих процессов.
   • Требовать утверждения для всех внешних участников всех пользователей, которые не являются членом или владельцем этого репозитория, а не участником организации, потребуется утверждение для запуска рабочих процессов.

6. Нажмите Сохранить, чтобы применить настроенные параметры.

Дополнительные сведения об утверждении рабочих процессов, к которым применяется эта политика, см. в разделе Утверждение рабочих процессов выполняется из вилок.

Включение рабочих процессов для частных вилок репозитория

Если вы используете вилки частных репозиториев, можно настроить политики для управления тем, как пользователи могут запускать рабочие процессы при наступлении событий pull_request. Доступны только для частных репозиториев, эти параметры политики можно настроить для организаций или репозиториев.

Если политика отключена для организации, ее нельзя включить для репозиториев. Если организация включает политику, ее можно отключить для отдельных репозиториев.

• Выполнять рабочие процессы из запросов на включение внесенных изменений в вилке репозитория — позволяет пользователям запускать рабочие процессы из запросов на включение внесенных изменений в вилке репозитория с помощью GITHUB_TOKEN с разрешением только для чтения и без доступа к секретам.
• Отправлять маркеры записи в рабочие процессы из запросов на включение внесенных изменений — позволяет выполнять запросы на включение внесенных изменений в вилке репозитория для использования GITHUB_TOKEN с разрешением на запись.
• Отправлять секреты в рабочие процессы из запросов на включение внесенных изменений — делает доступными все секреты для запроса на включение внесенных изменений.
• Требовать утверждение для рабочих процессов запроса на вытягивание вилки . Рабочий процесс выполняется при запросах на вытягивание от участников совместной работы без разрешения на запись, для выполнения которых требуется утверждение от кого-либо с разрешением на запись.

Настройка политики частной вилки для организации

1. В правом верхнем углу GitHub, щелкните рисунок профиля, а затем выберите октикона "организация" aria-hidden="true" aria-label="organization" %} Ваши организации.

2. Выберите организацию, кликнув по ней.

3. Под именем организации щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

   

4. На левой боковой панели щелкните Actions, а затем нажмите кнопку "Общие".

5. В разделе Рабочие процессы запроса на вытягивание выберите нужные параметры.

6. Нажмите Сохранить, чтобы применить настроенные параметры.

Настройка разрешений GITHUB_TOKEN для организации

Вы можете задать разрешения по умолчанию, предоставляемые параметру GITHUB_TOKEN. Дополнительные сведения см. в GITHUB_TOKENразделе Использование GITHUB_TOKEN для проверки подлинности в рабочих процессах. Вы можете выбрать ограниченный набор разрешений, принимаемые по умолчанию, или применить разрешающие параметры.

Вы можете задать разрешения по умолчанию для GITHUB_TOKEN в параметрах организаций или репозиториев. Если выбрать параметр с ограниченным доступом в качестве значения по умолчанию в параметрах организации, этот же параметр будет выбран в параметрах репозиториев в организации, а разрешительный параметр будет отключен. Если организация принадлежит к учетной записи GitHub Enterprise, а в параметрах предприятия выбрано значение по умолчанию с большими ограничениями, вы не сможете выбрать значение по умолчанию с меньшими ограничениями в параметрах организации.

Любой пользователь с доступом на запись в репозиторий может изменить разрешения, предоставленные GITHUB_TOKEN, добавляя или удаляя разрешения на доступ по мере необходимости путем редактирования ключа permissions в файле рабочего процесса. Дополнительные сведения см. в разделе permissions.

Настройка разрешений GITHUB_TOKEN по умолчанию

По умолчанию при создании новой организации GITHUB_TOKEN доступ только для чтения для contents областей и packages областей.

1. В правом верхнем углу GitHubщелкните рисунок профиля, а затем щелкните профиль.

   

2. В правом верхнем углу GitHub, щелкните рисунок профиля, а затем выберите октикона "организация" aria-hidden="true" aria-label="organization" %} Ваши организации.

3. Выберите организацию, кликнув по ней.

4. Под именем организации щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

   

5. На левой боковой панели щелкните Actions, а затем нажмите кнопку "Общие".

6. В разделе "Разрешения рабочего процесса" выберите, требуется GITHUB_TOKEN ли иметь доступ на чтение и запись для всех разрешений (предупредный параметр) или просто доступ на чтение для contents и packages разрешений (ограниченный параметр).

7. Нажмите Сохранить, чтобы применить настроенные параметры.

Запрет GitHub Actions создавать или утверждать запросы на вытягивание

Вы можете разрешить или запретить рабочим процессам GitHub Actions создавать или утверждать запросы на вытягивание.

По умолчанию при создании новой организации рабочие процессы не могут создавать или утверждать запросы на вытягивание.

1. В правом верхнем углу GitHubщелкните рисунок профиля, а затем щелкните профиль.

   

2. В правом верхнем углу GitHub, щелкните рисунок профиля, а затем выберите октикона "организация" aria-hidden="true" aria-label="organization" %} Ваши организации.

3. Выберите организацию, кликнув по ней.

4. Под именем организации щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

   

5. На левой боковой панели щелкните Actions, а затем нажмите кнопку "Общие".

6. В разделе «Разрешения рабочего процесса» используйте Allow GitHub Actions для создания и утверждения pull request чтобы настроить, может ли GITHUB_TOKEN создавать и одобрять pull request.

7. Нажмите Сохранить, чтобы применить настроенные параметры.

Управление хранилищем кэша GitHub Actions для вашей организации

Администраторы организации могут просматривать GitHub Actions кэша хранилища для всех репозиториев в организации.

Просмотр хранилища кэша GitHub Actions по репозиторию

Для каждого репозитория в организации можно узнать, сколько хранилища кэша используется репозиторий, количество активных кэшей и если репозиторий приближается к общему ограничению размера кэша. Дополнительные сведения об использовании кэша и процессе вытеснения см. в разделе Справочник по кэшированию зависимостей.

1. В правом верхнем углу GitHubщелкните рисунок профиля, а затем щелкните профиль.

   

2. В правом верхнем углу GitHub, щелкните рисунок профиля, а затем выберите октикона "организация" aria-hidden="true" aria-label="organization" %} Ваши организации.

3. Выберите организацию, кликнув по ней.

4. Под именем организации щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

   

5. На левой боковой панели щелкните Actions, а затем нажмите кнопку "Кэши".

6. Просмотрите список репозиториев для получения сведений об их кэшах GitHub Actions. Вы можете щелкнуть имя репозитория, чтобы узнать больше о кэшах репозитория.

Настройка параметров кэша GitHub Actions для вашей организации

Вы можете настроить настройки сохранения и размера кэша, которые будут применяться ко всем репозиториям вашей организации. Эта функция доступна по выбору и доступна пользователям с зарегистрированным способом оплаты.

Если ваша организация принадлежит предприятию с настроенными настройками кэша, вы можете настроить лимиты только до максимума, установленных предприятием. Если ваша организация не принадлежит предприятию (или компания не настроила настройки кэша), вы можете настроить его до глобальных максимумов.

Администраторы репозиториев могут самостоятельно настраивать ограничения для своих репозиториев, но не могут превышать установленные на уровне организации.

1. В правом верхнем углу GitHubщелкните рисунок профиля, а затем щелкните профиль.

   

2. В правом верхнем углу GitHub, щелкните рисунок профиля, а затем выберите октикона "организация" aria-hidden="true" aria-label="organization" %} Ваши организации.

3. Выберите организацию, кликнув по ней.

4. Под именем организации щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

   

5. На левой боковой панели щелкните Actions, а затем нажмите кнопку "Общие".

6. В разделе «Кэш» настройте и сохраните изменения в следующих настройках: * Сохранение кэша: максимальное количество дней для хранения кэша до автоматического удаления. По умолчанию — 7 дней. Вы можете настроить до 365 дней (или до лимита, установленного вашим предприятием). Нажмите «Сохранить », чтобы применить любые внесенные изменения. * Лимит выселения размера кэша: максимальный общий размер всех кэшей в репозитории. По умолчанию — 10 ГБ. Вы можете настроить до 10 000 ГБ на репозиторий (или до лимита, установленного вашим предприятием). При превышении этого лимита старые кэши будут выселены, чтобы освободить место для новых. Нажмите «Сохранить », чтобы применить любые внесенные изменения.

Для получения дополнительной информации о выселении кэша см. Справочник по кэшированию зависимостей.