Enterprise Server 3.7 release notes

查看登录到用户帐户的设备打开的会话列表时，GitHub Enterprise Server Web UI 可能会显示不正确的位置。

在极少数情况下，当 Elasticsearch 的主分片位于副本节点上时，ghe-repl-stop 命令会失败，并出现 ERROR: Running migrations。

高：更新了 Git，现在包含 2.39.2 中的修补程序，解决了 CVE-2023-22490 和 CVE-2023-23946 的问题。

高：在 GitHub Enterprise Server 中发现了允许在生成 GitHub Pages 站点时任意文件读取的路径遍历漏洞。 要利用此漏洞，攻击者需要获得在实例上创建和构建 GitHub Pages 站点的权限。 此漏洞通过 GitHub Bug 赏金计划报告，编号为 CVE-2023-22380。

包已更新到最新的安全版本。

将 VPC 终结点 URL 用作 GitHub Packages 的 AWS S3 URL 时，包的发布和安装失败。

例如，在启用了 GitHub Connect 和自动访问 GitHub.com 操作的情况下，Dependabot 将无法更新托管在 GitHub.com 上的操作。

如果实例没有 GitHub Advanced Security 许可证，则无法下载包含有关 GitHub Advanced Security 参与者详细信息的 CSV 文件。

由于包含 kredz.* 指标，收集的日志大小可能会迅速增长，StatsD 无法分析这些指标，进而产生错误消息。

在具有 GitHub Advanced Security 许可证的实例上，如果在运行 GitHub Enterprise Server 3.4 或早期版本时使用了代码扫描，则在尝试向数据库表添加唯一索引时，从 3.5 到 3.6 或 3.7 的后续升级可能会失败。

依赖项提交 REST API 收到包含一个或多个依赖项（不带版本）的提交后，依赖项关系图现在将正确报告此事实。

包已更新到最新的安全版本。

在站点管理员调整允许使用 ghe-config app.gitauth.rsa-sha1 与 RSA 密钥进行 SSH 连接的截止日期后，如果连接尝试由 SHA-1 哈希函数签名，实例仍将禁止与 RSA 密钥进行连接。

在配置运行的验证阶段，Notebook 和 Viewscreen 服务可能已出现 No such object error。

使用 SCIM 配置 GitHub Enterprise Server 时，SSH 密钥和个人访问令牌（经典）将无法允许 REST API 访问组织资源。

禁用 Dependabot 更新后，Dependabot 的头像在 Dependabot 警报时间线中显示为 @ghost 用户。

在某些情况下，用户在查看具有大量活动提交者的实例的“代码安全性和分析”设置页时，可能会遇到 500 错误。

用于联系 GitHub 支持或查看 GitHub Enterprise Server 发行说明的某些链接不正确。

GitHub Advanced Security 的其他提交者计数始终显示为 0。

在某些情况下，用户无法将现有问题转换为讨论。 如果问题在转换为讨论时停滞，企业所有者可以查看下面的“已知问题”部分了解详细信息。

高：更新了 Git，现在包含 2.39.1 中的修补程序，解决了 CVE-2022-41903 和 CVE-2022-23521 的问题。

清理支持包和配置日志中的其他机密。

CodeQL 操作的依赖项已更新到最新的安全版本。

包已更新到最新的安全版本。

某些服务直接以错误方式（而不是通过内部代理）连接到 kafka-lite。 在不同节点上执行 Web 服务和作业服务的群集环境中，从 Insights 作业服务生成的消息不会传递到 kafka-lite。

github（从元数据重命名）、gitauth 和 unicorn 容器服务的 Active workers 和 Queued requests 指标未从 collectd 正确读取，并显示在管理控制台中。

Dependabot 警报电子邮件将发送到禁用的存储库。

如果基础数据库表仅包含一条记录，则数据迁移可能会失败。

在组织级别对机密扫描的自定义模式列表进行排序和筛选时无法正常工作。

升级到 GitHub Enterprise Server 3.7 后，查看组织或存储库的安全设置页可能会导致 500 错误，因为 GitHub Advanced Security 回填作业未在升级开始前完成。

git-janitor 命令无法修复过时的 multi-pack-index.lock 文件，导致存储库维护失败。

由于生成的 statsd 错误导致收集的日志大小迅速增长，因此删除了无法通过 statsd 分析的 launch.* 指标。

更新自定义模式时，模式状态立即设置为“已发布”。

提高了实时更新服务 (Alive) 的可靠性，使其更能应对 Redis 的网络问题。

ghe-support-bundle 和 ghe-cluster-support-bundle 命令已更新为包含 -p/--period 标志，以生成时间受限的支持包。 可以以天和小时为单位指定持续时间，例如：-p '2 hours'、-p '1 day' 和 -p '2 days 5 hours'。

使用新的根分区升级实例时，使用 -t/--target 选项运行 ghe-upgrade 命令可确保针对目标分区执行最小磁盘存储大小的预检检查。

从 ghe-config-apply 开始的配置运行的性能已得到改进。

导出帐户数据、备份存储库或执行迁移时，指向存储库存档的链接现将在 1 小时后过期。 以前该存档链接在 5 分钟后过期。

在新建的没有任何用户的 GitHub Enterprise Server 实例上，攻击者可以创建第一个管理员用户。

自定义防火墙规则在升级过程中被删除。

通过 Web 界面上传的 Git LFS 跟踪文件被错误地直接添加到存储库。

如果问题包含文件路径长于 255 个字符的同一存储库中 blob 的永久链接，则问题无法关闭。

在 GitHub Connect 中启用了“用户可以搜索 GitHub.com”时，专用和内部存储库中的问题不包括在 GitHub.com 搜索结果中。

GitHub Packages npm 注册表不再在元数据响应中返回时间值。 这样可以大幅改善性能。 我们继续拥有将时间值作为元数据响应的一部分返回所需的所有数据，并将在以后解决现有性能问题后恢复返回该值。

特定于处理预接收挂钩的资源限制可能导致部分预接收挂钩失败。

从不同主机上的备份恢复实例后，需要重新启动操作服务。

在存储库的设置中，启用允许具有读取访问权限的用户创建讨论的选项不会启用此功能。

在某些情况下，用户无法将现有问题转换为讨论。

在配置运行的验证阶段，Notebook 和 Viewscreen 服务可能会出现 No such object 错误。 可以忽略此错误，因为服务仍应正确启动。

升级到 GitHub Enterprise Server 3.6 或更高版本后，存储库中的现有不一致（如引用损坏或缺少对象）现在可能报告为错误，如 invalid sha1 pointer 0000000000000000000000000000000000000000、Zero-length loose reference file 或 Zero-length loose object file。 以前，这些存储库损坏的指标可能已被静默忽略。 GitHub Enterprise Server 现在使用更新的 Git 版本，并启用了更频繁的错误报告。 有关详细信息，请参阅 Git 项目中的此上游提交。

如果怀疑某个存储库中存在此类问题，请联系 GitHub Enterprise 支持获取帮助。

遇到大量持续并发 Git 请求的实例可能会出现性能问题。 如果你怀疑此问题会影响你的实例，请联系 GitHub 支持。 有关详细信息，请参阅“创建支持工单”。 [更新日期：2022-12-07]

高：在 GitHub Enterprise Server 中发现了允许在生成 GitHub Pages 站点时远程执行代码的路径遍历漏洞。 要利用此漏洞，攻击者需要获得在实例上创建和构建 GitHub Pages 站点的权限。 此漏洞通过 GitHub bug 赏金计划报告，编号为 CVE-2022-46256。

争用条件阻止升级到 GitHub Enterprise Server 3.6 或更高版本，直到站点管理员重试升级。

当站点管理员通过管理 shell (SSH) 在缓存副本上运行 ghe-repl-status 命令时，该命令错误地报告了总体 Git 和 Alambic 群集复制状态信息，就好像它只与缓存复制有关。

当站点管理员通过管理 shell (SSH) 从实例主节点运行 ghe-repl-sync-ca-certificates 命令时，该命令仅将 CA 证书从实例主节点复制到单个副本节点。 命令未将证书复制到所有可用的副本节点。

在高可用性配置中，将副本提升为主节点后，站点管理员无法使用 ghe-repl-stop -f 命令强制在辅助副本节点上停止复制。

在高可用性配置中对实例使用存储库缓存时，如果 Git 客户端对存储库远程 URL 使用了 SSH 而不是 HTTPS，Git LFS 将从实例主节点而不是相应的缓存副本节点提取对象。

由于生成了容量值无效的 OVA 文件，在 VMware ESXi 虚拟机监控程序上安装 GitHub Enterprise Server 失败。

当用户使用 API 执行操作时，GitHub Enterprise Server 会强制执行存储库大小配额，即使全局禁用也是如此。

在某些情况下，通过 API 进行的搜索会返回 500 错误。

将协作者添加到具有会审、维护或自定义访问权限的组织拥有的专用储存库的用户拥有的分支会导致 500 错误。

在某些情况下，用于设置代码扫描的页面会错误地报告未为实例配置 GitHub Actions。

消除包含某些字符的 Dependabot 警报可能会导致 400 错误。

从实例中删除用户帐户后，用户在批注中上传的图像附件在 Web 界面中不再可见。

在使用 SAML 进行身份验证的实例上，用于个人访问令牌和 SSH 密钥的“配置 SSO”下拉菜单错误地出现。

从 GitHub Enterprise Server 3.5 升级到 3.7 可能会失败，因为实例尚未清除已删除的存储库。

在高可用性或存储库缓存配置中，主节点以外的节点上的 Unicorn 服务无法将日志事件发送到主节点。

修复了 GHES 日志文件可能很快被填满并导致根驱动器可用空间不足的 bug。

查看 Ruby 的代码扫描结果时，出现错误的 beta 标签。

企业所有者启用 Dependabot 警报后，GitHub Enterprise Server 将排队同步咨询数据，以确保每小时从 GitHub.com 更新。

用户最近访问的存储库列表不再包含已删除的存储库。

对于 GitHub Enterprise Server 的 SCIM 专用 beta 版本的参与者，现在支持 SAML 用户属性的自定义映射。 自定义映射允许在 SAML 身份验证期间使用 NameID 以外的值作为唯一标识声明。 有关详细信息，请参阅“使用 SCIM 为企业配置用户预配”。 [更新日期：2023-02-27]

在新建的没有任何用户的 GitHub Enterprise Server 实例上，攻击者可以创建第一个管理员用户。

自定义防火墙规则在升级过程中被删除。

通过 Web 界面上传的 Git LFS 跟踪文件被错误地直接添加到存储库。

如果问题包含文件路径长于 255 个字符的同一存储库中 blob 的永久链接，则问题无法关闭。

在 GitHub Connect 中启用了“用户可以搜索 GitHub.com”时，专用和内部存储库中的问题不包括在 GitHub.com 搜索结果中。

GitHub Packages npm 注册表不再在元数据响应中返回时间值。 这样可以大幅改善性能。 我们继续拥有将时间值作为元数据响应的一部分返回所需的所有数据，并将在以后解决现有性能问题后恢复返回该值。

特定于处理预接收挂钩的资源限制可能导致部分预接收挂钩失败。

从不同主机上的备份恢复实例后，需要重新启动操作服务。

在存储库的设置中，启用允许具有读取访问权限的用户创建讨论的选项不会启用此功能。

在某些情况下，用户无法将现有问题转换为讨论。

在配置运行的验证阶段，Notebook 和 Viewscreen 服务可能会出现 No such object 错误。 可以忽略此错误，因为服务仍应正确启动。

升级到 GitHub Enterprise Server 3.6 或更高版本后，存储库中的现有不一致（如引用损坏或缺少对象）现在可能报告为错误，如 invalid sha1 pointer 0000000000000000000000000000000000000000、Zero-length loose reference file 或 Zero-length loose object file。 以前，这些存储库损坏的指标可能已被静默忽略。 GitHub Enterprise Server 现在使用更新的 Git 版本，并启用了更频繁的错误报告。 有关详细信息，请参阅 Git 项目中的此上游提交。

如果怀疑某个存储库中存在此类问题，请联系 GitHub Enterprise 支持获取帮助。

遇到大量持续并发 Git 请求的实例可能会出现性能问题。 如果你怀疑此问题会影响你的实例，请联系 GitHub 支持。 有关详细信息，请参阅“创建支持工单”。 [更新日期：2022-12-07]

在启用了 TLS 和子域隔离的实例上验证域设置时，管理控制台不会在域列表中显示 GitHub Enterprise Server 3.7 的两个新子域：http(s)://notebooks.HOSTNAME 和 http(s)://viewscreen.HOSTNAME。 [更新日期：2023-01-12]

对于 GitHub Enterprise Server 的 SCIM 专用 beta 版本的参与者，使用 personal access token 或 SSH 密钥对 REST API 以外的资源的请求进行身份验证可能不会成功。 即将发布的 GitHub Enterprise Server 版本中将提供修补程序。 [更新日期：2023-02-27]

高：在 GitHub Enterprise Server 中发现了命令漏洞中参数分隔符的不当中和，该漏洞启用了远程代码执行。 要利用此漏洞，攻击者需要使用 GitHub Actions 创建和构建 GitHub Pages 的权限。 此 bug 最初通过 GitHub 的 Bug 赏金计划报告，编号为 CVE-2022-23740。 [更新日期：2022-12-02]

高：在 Pages 中添加了一项检查，以确保在解压缩新内容之前工作目录是干净的，以防止任意文件覆盖 bug。 此漏洞编号为 CVE-2022-46255。

中：更新了 CommonMarker，以解决对 Markdown REST API 的并行请求可能导致无限资源耗尽的情况。 此漏洞编号为 CVE-2022-39209。

中：访问非存储库资源时，GitHub 应用中的作用域内用户到服务器令牌可以绕过 GraphQL API 请求中的授权检查。 此漏洞通过 GitHub Bug 赏金计划报告，编号为 CVE-2022-23739。

中：拉取请求预览链接未正确清理 URL，这使得恶意用户能够在实例 Web UI 中嵌入危险链接。 此漏洞通过 GitHub Bug 赏金计划报告。

如果 GitHub Actions 依赖项使用固定的 SHA 版本，Dependabot 将不再将依赖项标记为易受攻击。

运行命令 ghe-spokesctl 会返回错误 failed to get repo metrics。

使用 IP 异常列表设置维护模式不会在升级期间持续存在。

GitHub Pages 生成可能会在 AWS 中配置为高可用性的实例上超时。

这些节点上的 ghe-repl-status 输出中不显示将 Git LFS 对象复制到存储库缓存副本节点的状态详细信息。

Dependabot 警报事件的审核日志时间戳返回警报的创建日期，而不是用户对警报执行操作时的时间戳。

从代理后面访问实例 JavaScript 资源时，浏览器会显示跨源资源共享 (CORS) 错误。

在用户使用前导或尾随空格命名了状态检查的情况下，如果有另一个检查存在相同的名称，并且没有前导或尾随空格，则实例会创建重复的检查。

如果用户为多个存储库配置了预接收挂钩，则实例“挂钩”页不会始终显示挂钩的正确状态。

在某些情况下，实例可能会将活动存储库替换为已删除的存储库。

如果存储库中的对象总数超过 5,000 个，则不会将具有缓存复制策略的存储库中的 Git LFS 对象复制到缓存副本。

在配置有高可用性的实例上运行 GitHub Enterprise Importer 的迁移后，迁移存储资产的复制无法跟上。

僵尸进程不再在 gitrpcd 容器中累积。

在配置了 GitHub Packages 的实例上，对于使用 AWS S3 Blob 存储的 VPC 终结点 URL 的客户，包上传和安装可能会失败。

在某些情况下，升级到 GitHub Enterprise Server 3.7.0 后，用户在通过 SSH 或 HTTPS 启动 Git 操作时可能会遇到 Internal Server Error 或 500 错误。

如果站点管理员尚未为实例配置 GitHub Actions，则用于设置代码扫描的 UI 将提示用户配置 GitHub Actions。

为了避免由于 DNS 提供商对 DNS 记录强制实施 63 个字符限制而导致域验证失败，GitHub 生成的用于验证域所有权的 TXT 记录现在限制为 63 个字符。

在新建的没有任何用户的 GitHub Enterprise Server 实例上，攻击者可以创建第一个管理员用户。

自定义防火墙规则在升级过程中被删除。

通过 Web 界面上传的 Git LFS 跟踪文件被错误地直接添加到存储库。

如果问题包含文件路径长于 255 个字符的同一存储库中 blob 的永久链接，则问题无法关闭。

在 GitHub Connect 中启用了“用户可以搜索 GitHub.com”时，专用和内部存储库中的问题不包括在 GitHub.com 搜索结果中。

GitHub Packages npm 注册表不再在元数据响应中返回时间值。 这样可以大幅改善性能。 我们继续拥有将时间值作为元数据响应的一部分返回所需的所有数据，并将在以后解决现有性能问题后恢复返回该值。

特定于处理预接收挂钩的资源限制可能导致部分预接收挂钩失败。

从不同主机上的备份恢复实例后，需要重新启动操作服务。

在存储库的设置中，启用允许具有读取访问权限的用户创建讨论的选项不会启用此功能。

在某些情况下，用户无法将现有问题转换为讨论。

在配置运行的验证阶段，Notebook 和 Viewscreen 服务可能会出现 No such object 错误。 可以忽略此错误，因为服务仍应正确启动。

升级到 GitHub Enterprise Server 3.6 或更高版本后，存储库中的现有不一致（如引用损坏或缺少对象）现在可能报告为错误，如 invalid sha1 pointer 0000000000000000000000000000000000000000、Zero-length loose reference file 或 Zero-length loose object file。 以前，这些存储库损坏的指标可能已被静默忽略。 GitHub Enterprise Server 现在使用更新的 Git 版本，并启用了更频繁的错误报告。 有关详细信息，请参阅 Git 项目中的此上游提交。

如果怀疑某个存储库中存在此类问题，请联系 GitHub Enterprise 支持获取帮助。

遇到大量持续并发 Git 请求的实例可能会出现性能问题。 如果你怀疑此问题会影响你的实例，请联系 GitHub 支持。 有关详细信息，请参阅“创建支持工单”。 [更新日期：2022-12-07]

在启用了 TLS 和子域隔离的实例上验证域设置时，管理控制台不会在域列表中显示 GitHub Enterprise Server 3.7 的两个新子域：http(s)://notebooks.HOSTNAME 和 http(s)://viewscreen.HOSTNAME。 [更新日期：2023-01-12]

若要提高管理控制台的安全性，站点管理员可以配置登录尝试的速率限制，以及超过速率限制后的锁定持续时间。 有关详细信息，请参阅“配置速率限制”。

管理控制台的最低密码要求更为严格。

尝试向管理控制台进行身份验证以及站点管理员在管理控制台中所做的更改将写入 /var/log/enterprise-manage/audit.log 中的日志文件。

Azure Maps 替换 MapBox，用于将 GeoJSON 文件呈现为图形地图。 管理员可以启用地图呈现，并在管理控制台中提供 Azure Maps 令牌。 有关详细信息，请参阅“从管理控制台管理实例”。

用户可以使用 SSH 公钥验证提交。 有关详细信息，请参阅“关于提交签名验证”。

站点管理员可以使用 SCIM 自动在 GitHub Enterprise Server 实例上预配用户和组。 适用于 GitHub Enterprise Server 的 SCIM 为专用 beta 版本，可能会发生更改。 有关详细信息，请参阅 REST API 文档中的“使用 SCIM 为企业配置用户预配”和“SCIM”。

具有 GitHub Advanced Security 许可证的实例上的用户可以在拉取请求的“对话”选项卡中查看和注释其存储库中的代码扫描警报。如果为存储库启用了“合并前需要对话解析”分支保护规则，则必须在用户合并拉取请求之前解决有关这些代码扫描警报的所有注释。 有关详细信息，请参阅“关于代码扫描”、“关于拉取请求审查”和“关于受保护的分支”。

为了简化对具有数十个、数百甚至数千个组织的实例的机密扫描的推出过程，具有 GitHub Advanced Security 许可证的实例上的企业所有者可以使用 Web 界面为实例启用机密扫描和推送保护。 有关详细信息，请参阅“为企业管理 GitHub Advanced Security 功能”。

具有 GitHub Advanced Security 许可证的实例上的组织所有者可以执行自定义模式的试运行，以便对组织内的所有存储库进行机密扫描。 有关详细信息，请参阅“为机密扫描定义自定义模式”。

如果站点管理员为具有 GitHub Advanced Security 许可证的实例启用了电子邮件通知，则当参与者绕过推送保护阻止的机密时，查看存储库机密扫描警报的用户将收到电子邮件通知。 以前，如果机密被标记为误报或在测试中使用，则不会发送通知。 有关详细信息，请参阅“使用机密扫描保护推送”和“为通知配置电子邮件”。

若要简化机密扫描的数十个或数百个自定义模式的管理，用户、组织所有者或具有 GitHub Advanced Security 许可证的实例上的企业所有者可以对存储库、组织或整个实例的模式列表进行排序和筛选。 有关详细信息，请参阅“为机密扫描定义自定义模式”。

在具有 GitHub Advanced Security 许可证的实例上使用机密扫描保护推送的用户可以指定一个自定义链接，该链接将在推送保护检测到并阻止潜在机密时显示在错误消息中。 有关详细信息，请参阅“使用机密扫描保护推送”。

用户可以将 CodeQL 包发布到容器注册表。 有关详细信息，请参阅 CodeQL CLI 文档中的创建和使用 CodeQL 包。

具有 GitHub Advanced Security 许可证的实例上的用户可以将 CodeQL 包与代码扫描配合使用，包括发布到实例的 GitHub 容器注册表的包。 有关详细信息，请参阅 CodeQL CLI 文档中的“配置代码扫描”和发布和使用 CodeQL 包。

具有 GitHub Advanced Security 许可证的实例上的用户可以通过使用查询筛选器排除不必要的 CodeQL 查询，以便进行代码扫描。 有关详细信息，请参阅“配置代码扫描”。

具有 GitHub Advanced Security 许可证的实例上的企业所有者可以使用 REST API 检索整个实例的代码扫描结果。 新的终结点补充了存储库和组织的现有终结点。 有关详细信息，请参阅 REST API 文档中的“代码扫描”。

具有 GitHub Advanced Security 许可证的实例上的组织所有者可以使用 REST API 检索启用状态或配置以下功能的自动启用。

• GitHub 高级安全
• 机密扫描
• 推送保护

有关详细信息，请参阅 REST API 文档中的“组织”。

具有 GitHub Advanced Security 许可证的实例上的用户可以使用游标对通过 REST API 的组织和存储库终结点检索到的机密扫描警报结果进行分页。 有关详细信息，请参阅 REST API 文档中的“机密扫描”。

实例的安全概述包括有关 Dependabot 的信息。 有关详细信息，请参阅“查看安全概述”。

用户可以查看与 Dependabot 警报关联的活动的详细信息。 在 Dependabot 警报详细信息中，用户可以看到事件的时间线，例如警报打开、修复或重新打开的时间。 事件还会在可用时显示其他元数据，例如相关的拉取请求。 有关详细信息，请参阅“关于 Dependabot 警报”。

默认情况下，用户的 Dependabot 警报按重要性排序。 重要性将 CVSS 视为主要因素，并考虑潜在风险、相关性和修复漏洞的便利性。 计算将随着时间的推移而改进。

用户可以按依赖项范围（运行时或开发）对 Dependabot 警报进行排序。

用户可以选择在关闭 Dependabot 警报时添加注释。 消除注释显示在事件时间线和 GraphQL API 的 RepositoryVulnerabilityAlert 对象的 dismissComment 字段中。 有关 GraphQL API 的详细信息，请参阅 GraphQL API 文档中的“对象”。

用户可以选择多个 Dependabot 警报，然后消除或重新打开警报。 例如，从“已关闭的警报”选项卡中，可以选择多个先前已消除的警报，然后一次性重新打开它们。

实例上的组织所有者可以使用 REST API 检索启用状态或为依赖项管理配置以下功能的自动启用。

• 依赖关系图
• Dependabot 警报
• Dependabot 安全更新

有关详细信息，请参阅 REST API 文档中的“组织”。

企业所有者、组织所有者和安全经理可以访问整个实例中的集中式风险视图。 该视图还包括所有代码扫描、机密扫描和 Dependabot 警报的以警报为中心的视图。 企业所有者可以查看他们所拥有的组织的警报。 组织所有者和安全经理可以查看他们具有完全访问权限的组织的存储库和警报。 有关详细信息，请参阅“关于安全概述”。

组织所有者可以使用 REST API 管理安全经理团队。 有关详细信息，请参阅 REST API 文档中的“安全经理”。

用户可以利用 GitHub Advisory 数据库的以下改进。

• 数据库显示 Elixir、Erlang 的 Hex 包管理器等公告。
• 用户可以通过搜索 type:malware 来查找恶意软件公告。
• 数据库显示有关 GitHub Actions 漏洞的公告。

有关详细信息，请参阅“在 GitHub 公告数据库中浏览安全公告”。

用户可以使用 REST API 提交存储库的依赖项来填充存储库的依赖项关系图。 依赖项关系图为 Dependabot 警报和 Dependabot 安全更新提供支持。 有关详细信息，请参阅“使用依赖项提交 API”。

GitHub Actions 支持 Google 云存储作为日志、项目和缓存的存储提供程序。 有关详细信息，请参阅“使用 Google 云存储启用 GitHub Actions”。

使用依赖项缓存来加快工作流的 GitHub Actions 用户现在可以使用 GitHub CLI 来管理存储库的 GitHub Actions 缓存。 若要使用 GitHub CLI 管理缓存，请安装 gh-actions-cache 扩展。 有关详细信息，请参阅 gh-actions-cache 文档。

在 GitHub Actions 中重新运行的工作流使用最初触发工作流的参与者进行特权评估。 触发重新运行的参与者将继续显示在 UI 中，并且可以通过 github 上下文中的 triggering_actor 字段在工作流中访问。 有关详细信息，请参阅“重新运行工作流和作业”和“上下文”。

用户可以从矩阵或其他可重用工作流调用可重用工作流。 有关详细信息，请参阅“重用工作流”。

查询 GitHub Actions 中的项目时，REST API 返回有关生成项目的运行和分支的信息。 有关详细信息，请参阅 REST API 文档中的“GitHub Actions 项目”。

为了支持大规模安全云部署，组织所有者和存储库管理员可以使用 OpenID Connect REST API 完成以下任务。 有关详细信息，请参阅 REST API 文档中的“GitHub Actions OIDC”

• 通过自定义 subject 声明格式，跨云部署工作流启用标准 OpenID Connect 配置。
• 通过将 issuer URL 追加到企业的数据域，确保 OpenID Connect 部署的合规性和安全性。
• 使用其他 OpenID Connect 令牌声明（如 repository_id 和 repo_visibility）配置高级 OpenID Connect 策略。

有关详细信息，请参阅“关于使用 OpenID Connect 进行安全强化”。

使用依赖项缓存加快工作流的 GitHub Actions 用户现在可以使用 GitHub Actions 缓存 REST API 来完成以下任务。

• 列出存储库中的所有缓存并按元数据排序。
• 删除损坏或过时的缓存项。 有关详细信息，请参阅 REST API 文档中的“缓存依赖项以加快工作流”和“GitHub Actions 缓存”。

如果非临时自承载 GitHub Actions 运行器未与 GitHub Enterprise Server 实例通信超过 14 天，则实例将自动删除运行器。 如果临时自承载运行器未与实例通信超过一天，该实例将自动删除该运行器。 此前，GitHub Enterprise Server 会在 30 天后删除运行器。 有关详细信息，请参阅关于自承载运行器。

GitHub Actions 可以在 macOS ARM64 运行时中运行自承载 macOS 工作流，且运行器支持 Apple 芯片，例如 M1 或 M2 芯片。 有关详细信息，请参阅“在工作流中使用自承载运行器”。

用户可以使用 GitHub Actions 直接从存储库部署 GitHub Pages 站点，而无需配置发布源。 使用 GitHub Actions 可以控制创作框架和版本，并通过部署入口等功能更好地控制发布过程。 有关详细信息，请参阅“为 GitHub Pages 站点配置发布源”。

企业所有者可以阻止用户创建其用户帐户拥有的存储库。 有关详细信息，请参阅“在企业中实施存储库管理策略”。

企业所有者可以控制用户可对存储库进行分支的位置。 分叉可以限制为预设的组织组合、与父存储库相同的组织、用户帐户或任意位置。 有关详细信息，请参阅“在企业中实施存储库管理策略”。

存储库管理员可以通过限制可通过单个推送更新的分支和标记数来阻止可能具有破坏性的推送。 默认情况下，对单个推送中可以更新的分支和标记数没有限制。 有关详细信息，请参阅“管理存储库的推送策略”。

在压缩-合并拉取请求时，用户可以进一步自定义默认提交消息。 有关详细信息，请参阅“为拉取请求配置提交合并和“为拉取请求配置提交压缩”。

用户可以通过单击“新建分支”按钮从存储库的“分支”概述页面创建分支 。 有关详细信息，请参阅“在存储库中创建和删除分支”。

当用户重命名文件或将文件移动到新目录时，如果文件的内容至少一半是相同的，则提交历史记录表明文件已重命名，类似于 git log --follow。 有关详细信息，请参阅 GitHub 博客。 [更新日期：2023-02-10]

对分支的创建和管理进行了改进。

• 创建存储库分支时，用户可以选择仅将存储库的默认分支包含在分支中。
• 用户可以使用存储库的“分支”按钮查看存储库的现有分支。
• “提取上游”按钮已重命名为“同步分支”，以更好地描述按钮的行为。 如果同步导致冲突，Web UI 会提示用户向父存储库提交更改、放弃更改或解决冲突。
• 若要解决用户在一个组织内工作且不希望将存储库分支到其他组织或用户帐户的情况，用户可以将存储库分支到父存储库所在的组织。
• 用户可以将内部存储库分支到另一个组织，分支将保留内部可见性。 为内部存储库创建分支时，用户可以选择哪个组织应拥有该分支。

有关详细信息，请参阅“为存储库创建分支”。

存储库管理员可以使用“限制创建匹配分支的推送”分支保护规则来阻止创建与配置的名称模式匹配的分支。 例如，如果存储库的默认分支从 master 更改为 main，则存储库管理员可以阻止任何后续创建或推送 master 分支。 有关详细信息，请参阅“关于受保护的分支”和“管理分支保护规则”。

用户可以使用 geoJSON、topoJSON 和 STL 图表创建文件，并在 Web 界面中呈现图表。 有关详细信息，请参阅“使用非代码文件”。

用户可以使用字母数字或数字标识符创建自动链接引用。 有关详细信息，请参阅“配置自动链接以引用外部资源自动链接”。

用户可以使用 .gitattributes 文件中的 linguist 属性自定义文件查找器中的排除项（例如 vendor/ 和 build/）。 有关详细信息，请参阅“在 GitHub 上查找文件”和“自定义更改文件在 GitHub 上的显示方式”。

用户可以使用树视图浏览单个提交中修改的文件。 有关详细信息，请参阅“关于提交”。

用户可以手动将现有分支或拉取请求链接到问题边栏的“开发”部分中的问题。 有关详细信息，请参阅“将拉取请求链接到问题”。

用户可以在编写 Markdown 时使用 Mermaid 语法，该语法在呈现 Markdown 时显示图表。 有关详细信息，请参阅“创建关系图”。

除了现有分隔符外，用户还可以使用带 math 语法的隔离代码块编写数学表达式。 此方法不需要 $$。 有关详细信息，请参阅“编写数学表达式”。

• 注意：此功能在 GitHub Enterprise Server 3.7 中不可用。 即将推出的版本中将提供该功能。 [更新日期：2022-11-16]

用户可直接在 Markdown 中使用带 geojson 或 topojson 语法的隔离代码块呈现地图，并使用 stl 语法嵌入 STL 3D 呈现。 有关详细信息，请参阅“创建关系图”。

在 Markdown 中，用户可以编写 LaTeX 样式的语法，以使用 $ 分隔符以内联方式呈现数学表达式，或使用 $$ 分隔符在代码块中呈现。 有关详细信息，请参阅“编写数学表达式”。

为了提高稳定性，已替换用于呈现 GeoJSON、Jupyter Notebook、PDF、PSD、SVG、SolidWorks 和其他二进制格式的服务。

如果为实例配置了 TLS 和子域隔离，并且证书并非通配型证书，则必须生成一个新证书，其中包含这些服务的其他子域（notebooks.HOSTNAME 和 viewscreen.HOSTNAME）。 有关详细信息，请参阅“启用子域隔离”。 [更新日期：2022-12-02]

机密扫描不再支持在“机密之后”字段中使用 .* 作为结束分隔符的自定义模式，因为模式语法会导致扫描问题和不一致。

创建新版本时，用户现在可以在 macOS 中使用 Ctrl + Enter 或在 Windows 或 Linux 中使用 Ctrl + Enter 提交表单。

存储库中的“Wiki”选项卡仅在 Wiki 存在时显示。 此前始终显示此选项卡。

呈现的 Wiki 显示数学表达式和美人鱼图。

用户、组织和企业审核日志的搜索字段大小已增加。

在新建的没有任何用户的 GitHub Enterprise Server 实例上，攻击者可以创建第一个管理员用户。

自定义防火墙规则在升级过程中被删除。

通过 Web 界面上传的 Git LFS 跟踪文件被错误地直接添加到存储库。

如果问题包含文件路径长于 255 个字符的同一存储库中 blob 的永久链接，则问题无法关闭。

在 GitHub Connect 中启用了“用户可以搜索 GitHub.com”时，专用和内部存储库中的问题不包括在 GitHub.com 搜索结果中。

GitHub Packages npm 注册表不再在元数据响应中返回时间值。 这样可以大幅改善性能。 我们继续拥有将时间值作为元数据响应的一部分返回所需的所有数据，并将在以后解决现有性能问题后恢复返回该值。

特定于处理预接收挂钩的资源限制可能导致部分预接收挂钩失败。

从不同主机上的备份恢复实例后，需要重新启动操作服务。

在存储库的设置中，启用允许具有读取访问权限的用户创建讨论的选项不会启用此功能。

在某些情况下，用户无法将现有问题转换为讨论。

在配置运行的验证阶段，Notebook 和 Viewscreen 服务可能会出现 No such object 错误。 可以忽略此错误，因为服务仍应正确启动。

在某些情况下，升级到 GitHub Enterprise Server 3.7.0 后，用户在通过 SSH 或 HTTPS 启动 git 操作时可能会遇到 Internal Server Error 或 500 错误。 示例：

git push origin master
Total 0 (delta 0), reused 0 (delta 0)
remote: Internal Server Error
To ghes.hostname.com:User/repo.git
! [remote rejected]       master -> master (Internal Server Error)

如果遇到这些情况，请联系 GitHub Enterprise 支持 部门获取支持包。 目前已知的临时解决方法是使用以下命令重启 github-gitauth 服务：

nomad stop github-gitauth
nomad run /etc/nomad-jobs/github/gitauth.hcl
nomad status github-gitauth

我们目前正在调查未来热补丁的永久修补程序[更新时间：2022-11-24]。

遇到大量持续并发 Git 请求的实例可能会出现性能问题。 如果你怀疑此问题会影响你的实例，请联系 GitHub 支持。 有关详细信息，请参阅“创建支持工单”。 [更新日期：2022-12-07]

在启用了 TLS 和子域隔离的实例上验证域设置时，管理控制台不会在域列表中显示 GitHub Enterprise Server 3.7 的两个新子域：http(s)://notebooks.HOSTNAME 和 http(s)://viewscreen.HOSTNAME。 [更新日期：2023-01-12]