在 Git 仓库中构建软件时,协作在多个层面上发生是理所当然的。一种常见的协作方式是“分支”原始仓库并针对原始(即“基础”)仓库执行“拉取请求”(PR)。在这种情况下,使用 CI/CD 工具通常是作为一项自动化检查,用于查看从分支中提出的拉取请求中的更改是否会破坏基础中的任何内容。但是,为了使此功能正常工作,基础仓库通常必须与分支共享一些秘密数据,而恶意行为者可能会滥用这些数据。
一些团队愿意接受这些风险并共享这些秘密,而另一些团队则不愿意。无论对您的组织来说最佳决定是什么,我们相信您应该有选择的权利。这就是为什么我们很高兴在 Travis CI 中引入新的仓库级别设置,允许仓库所有者和管理员明确地做出这一选择。
对于在 2022 年 3 月 1 日之前在 Travis CI 中激活的所有仓库,默认的仓库级别设置如下
在 2022 年 3 月 1 日之后在 Travis CI 中激活的所有仓库,默认情况下都会将这两个设置设置为 OFF – 更改之后,希望通过共享一些“基础”秘密或 SSH 密钥与“分支”进行协作以增强协作的组织将需要在 Travis CI 中的仓库级别明确地启用这些设置。这将允许团队更改仓库访问权限,以适应其特定需求。请参阅下面的图 1 和图 2,它们展示了这些设置
在 2022 年 3 月 1 日之后在 Travis CI 中激活的所有仓库,默认情况下都会将这两个设置设置为 OFF – 更改之后,希望通过共享一些“基础”秘密或 SSH 密钥与“分支”进行协作以增强协作的组织将需要在 Travis CI 中的仓库级别明确地启用这些设置。这将允许团队更改仓库访问权限,以适应其特定需求。请参阅下面的图 1 和图 2,它们展示了这些设置
图 1 https://app.travis-ci.com 中的公共仓库设置
图 2 https://app.travis-ci.com 中的私有仓库设置
如果您在 2022 年 3 月 1 日之前在 travis-ci.com 中激活了仓库,并且正在使用来自分支的拉取请求,那么无需进行任何更改。但是,您仍然可以随时调整仓库设置。请注意,如果您选择启用此设置,则可能存在对公共仓库的潜在风险。在 2022 年 3 月 1 日之后,如果您希望与分支共享加密秘密和/或 SSH 密钥,以便将来自仓库分支的拉取请求作为 CI/CD 过程的一部分构建,您需要调整仓库级别设置。如果您使用从仓库分支而不是从分支提交的拉取请求,则此更改不会影响您。
更改将发布到
Travis 团队借此机会向所有通过报告贡献以增强 Travis CI 安全性的研究人员和工程师表示感谢!
与往常一样,如果您有任何问题,请通过电子邮件联系 [email protected] 寻求帮助。
构建愉快!