github受保护的分支机构不提供任何真正的安全性

时间:2016-06-03 19:30:30

标签: git security github

github's docs中,他们提到受保护的分支机构,以“保持您的项目并提取有组织且安全的请求”。但是,经过一些研究后,模型没有真正增加的安全性。以下描述是否不准确?

github中的受保护分支依赖于使用状态api标记提交为“成功”。然后,github将阻止合并,强制推送等到所需的分支(即master),除非要合并的pull-request已经通过API标记为成功。

问题在于,对存储库具有推送访问权限的任何人都可以通过API手动将成功状态应用于其提交。

例如:

  • 用户向主人提出了一个拉取请求,其构建版本的测试失败
  • github将不允许在状态失败时合并pull-request
  • 开发人员可以手动使用API​​将其提交标记为成功,绕过测试检查
  • 失败的代码进入受保护的分支

受保护的分支机构可以提供一些很好的代码质量检查,但由于Status API没有任何限制,因此没有任何东西可以阻止这些检查被绕过。

1 个答案:

答案 0 :(得分:0)

我与Github交谈后确认,如果你有推送权限,那么你也可以使用状态api;没有更好的控制粒度。

相关问题
最新问题