Deshabilitación o limitación de GitHub Actions para su organización

Acerca de los permisos de GitHub Actions para tu organización

De manera predeterminada, GitHub Actions habilita en todos los repositorios y organizaciones. Puedes optar por deshabilitar GitHub Actions o limitarlo a acciones y flujos de trabajo reutilizables en la empresa. Para más información sobre GitHub Actions, consulta Escritura de flujos de trabajo.

Puedes habilitar GitHub Actions para todos los repositorios en tu organización. Cuando habilitas GitHub Actions, los flujos de trabajo pueden ejecutar acciones y flujos de trabajo reutilizables que se encuentran en tu repositorio y en cualquier otro público o interno. Puede deshabilitar GitHub Actions para todos los repositorios de la organización. Cuando inhabilitas a GitHub Actions, no se ejecuta ningún flujo de trabajo en tu repositorio.

Como alternativa, puedes habilitar GitHub Actions para todos los repositorios de la organización, pero limita las acciones y los flujos de trabajos reutilizables que puede ejecutar un flujo de trabajo.

Administrar los permisos de GitHub Actions para tu organización

Puede elegir deshabilitar GitHub Actions para todos los repositorios de la organización, o bien puede permitir solo repositorios concretos. También puede limitar el uso de acciones públicas y flujos de trabajo reutilizables, de modo que los usuarios solo puedan utilizar acciones locales y flujos de trabajo reutilizables que existan en la empresa.

1. En la esquina superior derecha de GitHub, haz clic en la foto del perfil y luego en Your organizations.

2. Junto a la organización, haga clic en Settings.

3. En la barra lateral de la izquierda, haz clic en Actions y luego en General.

4. Debajo de "Políticas", selecciona una opción.

   Si eliges Permitir la empresa y seleccionar acciones no empresariales y flujos de trabajo reutilizables, se permiten acciones y flujos de trabajo reutilizables en tu empresa y hay opciones adicionales para permitir otras acciones específicas y flujos de trabajo reutilizables. Para más información, consulta Permiso para ejecutar acciones seleccionadas y flujos de trabajo reutilizables.

   Al permitir acciones y flujos de trabajo reutilizables solo en tuempresa, la directiva bloquea todo el acceso a las acciones que crea GitHub. Por ejemplo, no se podría acceder a la acción actions/checkout.

   Cuando se habilita Requerir que las acciones se anclen a un SHA de confirmación de longitud completa, todas las acciones deben anclarse a un SHA de confirmación de longitud completa para usarse. Esto incluye acciones de tu empresa y acciones creadas por GitHub. La etiqueta puede hacer referencia a flujos de trabajo reutilizables. Para más información, consulta Referencia de uso seguro.

5. Haz clic en Guardar.

Habilitación de la ejecución de acciones seleccionadas y flujos de trabajo reutilizables

Al elegir Permitir la empresa y seleccionar acciones no empresariales y flujos de trabajo reutilizables, se permiten acciones locales y flujos de trabajo reutilizables y hay opciones adicionales para permitir otras acciones específicas y flujos de trabajo reutilizables:

•           **Permitir las acciones que crea GitHub:** Puede permitir que los flujos de trabajo utilicen todas las acciones que haya creado GitHub. Las acciones que crea GitHub se encuentran en las organizaciones `actions` y `github`. Para obtener más información, consulte las organizaciones [`actions`](https://github.com/actions) y [`github`](https://github.com/github).
  

•           **Permitir las acciones de Marketplace de creadores verificados**:  Puede permitir que los flujos de trabajo utilicen todas las acciones de GitHub Marketplace creadas por creadores comprobados. Cuando GitHub haya verificado al creador de la acción como una organización asociada, se mostrará la insignia de <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-verified" aria-label="The verified badge" role="img"><path d="m9.585.52.929.68c.153.112.331.186.518.215l1.138.175a2.678 2.678 0 0 1 2.24 2.24l.174 1.139c.029.187.103.365.215.518l.68.928a2.677 2.677 0 0 1 0 3.17l-.68.928a1.174 1.174 0 0 0-.215.518l-.175 1.138a2.678 2.678 0 0 1-2.241 2.241l-1.138.175a1.17 1.17 0 0 0-.518.215l-.928.68a2.677 2.677 0 0 1-3.17 0l-.928-.68a1.174 1.174 0 0 0-.518-.215L3.83 14.41a2.678 2.678 0 0 1-2.24-2.24l-.175-1.138a1.17 1.17 0 0 0-.215-.518l-.68-.928a2.677 2.677 0 0 1 0-3.17l.68-.928c.112-.153.186-.331.215-.518l.175-1.14a2.678 2.678 0 0 1 2.24-2.24l1.139-.175c.187-.029.365-.103.518-.215l.928-.68a2.677 2.677 0 0 1 3.17 0ZM7.303 1.728l-.927.68a2.67 2.67 0 0 1-1.18.489l-1.137.174a1.179 1.179 0 0 0-.987.987l-.174 1.136a2.677 2.677 0 0 1-.489 1.18l-.68.928a1.18 1.18 0 0 0 0 1.394l.68.927c.256.348.424.753.489 1.18l.174 1.137c.078.509.478.909.987.987l1.136.174a2.67 2.67 0 0 1 1.18.489l.928.68c.414.305.979.305 1.394 0l.927-.68a2.67 2.67 0 0 1 1.18-.489l1.137-.174a1.18 1.18 0 0 0 .987-.987l.174-1.136a2.67 2.67 0 0 1 .489-1.18l.68-.928a1.176 1.176 0 0 0 0-1.394l-.68-.927a2.686 2.686 0 0 1-.489-1.18l-.174-1.137a1.179 1.179 0 0 0-.987-.987l-1.136-.174a2.677 2.677 0 0 1-1.18-.489l-.928-.68a1.176 1.176 0 0 0-1.394 0ZM11.28 6.78l-3.75 3.75a.75.75 0 0 1-1.06 0L4.72 8.78a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L7 8.94l3.22-3.22a.751.751 0 0 1 1.042.018.751.751 0 0 1 .018 1.042Z"></path></svg> junto a la acción en GitHub Marketplace.
  

•           **Permitir o bloquearlas acciones especificadas y los flujos de trabajo reutilizables:** Puede restringir los flujos de trabajo para que utilicen acciones y flujos de trabajo reutilizables en organizaciones y repositorios concretos. Las acciones especificadas no se pueden establecer en más de 1000.
  

  Para restringir el acceso a etiquetas específicas o confirmar los SHA de una acción o un flujo de trabajo reutilizable, usa la misma sintaxis que se usa en el flujo de trabajo para seleccionar la acción o el flujo de trabajo reutilizable.

  • Para una acción, la sintaxis es OWNER/REPOSITORY@TAG-OR-SHA. Por ejemplo, usa actions/javascript-action@v1.0.1 para seleccionar una etiqueta o actions/javascript-action@a824008085750b8e136effc585c3cd6082bd575f para seleccionar un SHA. Para más información, consulta Uso de bloques predefinidos en el flujo de trabajo.
  • Para un flujo de trabajo reutilizable, la sintaxis es OWNER/REPOSITORY/PATH/FILENAME@TAG-OR-SHA. Por ejemplo, octo-org/another-repo/.github/workflows/workflow.yml@v1. Para más información, consulta Reutilización de flujos de trabajo.

  Puedes usar el carácter comodín * para buscar coincidencias con patrones. Por ejemplo, para permitir todas las acciones y los flujos de trabajo reutilizables en las organizaciones que comienzan con space-org, puedes especificar space-org*/*. Para permitir todas las acciones y los flujos de trabajo reutilizables en los repositorios que empiezan con octocat, puedes usar */octocat**@*. Para obtener más información sobre cómo usar el carácter comodín *, consulte Sintaxis del flujo de trabajo para GitHub Actions.

  Usa , para separar patrones. Por ejemplo, para permitir todas las acciones y los flujos de trabajo reutilizables en las organizaciones octocat y octokit, puedes especificar octocat/*, octokit/*.

  Usa el prefijo ! para bloquear patrones. Por ejemplo, para permitir todas las acciones y los flujos de trabajo reutilizables de la organización space-org, pero bloquear una acción concreta como space-org/action, puedes especificar space-org/*, !space-org/action@*. De manera predeterminada, solo se permitirán las acciones y los flujos de trabajo reutilizables especificados en la lista. Para permitir todas las acciones y los flujos de trabajo reutilizables al tiempo que se bloquean acciones específicas, puedes especificar *, !space-org/action@*.

Este procedimiento muestra cómo agregar acciones específicas y flujos de trabajo reutilizables a la lista.

1. En la esquina superior derecha de GitHub, haz clic en la foto del perfil y luego en Your organizations.
2. Junto a la organización, haga clic en Settings.
3. En la barra lateral de la izquierda, haz clic en Actions y luego en General.
4. En "Directivas", selecciona Permitir la empresa y seleccionar acciones no empresariales y flujos de trabajo reutilizables y agrega las acciones necesarias y los flujos de trabajo reutilizables a la lista.
5. Haz clic en Guardar.

Limitación del uso de ejecutores autohospedados

No hay ninguna garantía de que los ejecutores autohospedados para GitHub se vayan a hospedar en máquinas virtuales efímeras y limpias. Como resultado, el código que no es de confianza puede ponerlas en peligro en un flujo de trabajo.

De manera similar, cualquier usuario que pueda bifurcar el repositorio y abrir una solicitud de incorporación de cambios (por lo general, aquellos con acceso de lectura al repositorio) puede poner en riesgo el entorno del ejecutor autohospedado, incluida la obtención de acceso a los secretos y a GITHUB_TOKEN que, en función de su configuración, puede conceder acceso de lectura al repositorio. Aunque los flujos de trabajo pueden controlar el acceso a los secretos de ambiente utilizando ambientes y revisiones requeridas, estos flujos de trabajo no se encuentran en un ambiente aislado y aún son susceptibles a los mismos riesgos cuando se ejecutan en un ejecutor auto-hospedado.

Por estos y otros motivos, puede que decidas impedir que los usuarios creen ejecutores autohospedados en el nivel de repositorio.

Si un repositorio ya tiene ejecutores autohospedados al deshabilitar su uso, se mostrarán con el estado "Deshabilitado" y no se les asignarán trabajos de flujo de trabajo nuevos.

1. En la esquina superior derecha de GitHub, haz clic en la foto del perfil y luego en Your organizations.
2. Junto a la organización, haga clic en Settings.
3. En la barra lateral de la izquierda, haz clic en Actions y luego en General.
4. En "Ejecutores", usa el menú desplegable para elegir tu configuración preferida:

   •           **Todos los repositorios**: los ejecutores autohospedados se pueden usar para cualquier repositorio de la organización.
     

   •           **Repositorios seleccionados**: los ejecutores autohospedados solo se pueden usar para los repositorios que seleccione.
     

   •      **Deshabilitado**: los ejecutores autohospedados no se pueden crear en el nivel de repositorio.
     

5. Si has elegido Repositorios seleccionados, haz lo siguiente:
   1. Haz clic en .
   2. Activa las casillas de los repositorios para los que quieres permitir ejecutores autohospedados.
   3. Haz clic en Select repositories (Seleccionar repositorios).

Configurar las aprobaciones requeridas para los flujos de trabajo desde las bifurcaciones públicas

Cualquiera puede bifurcar un repositorio público y luego emitir una solicitud de cambios que proponga cambios en los flujos de trabajo de GitHub Actions del mismo. Aunque los flujos de trabajo de las bifurcaciones no tienen acceso a datos sensibles tales como los secretos, pueden ser molestos para los mantenedores si se modifican para fines de abuso.

Para ayudar a prevenir esto, los flujos de trabajo sobre las solicitudes de cambio en los repositorios públicos de algunos contribuyentes no se ejecutarán automáticamente y podrían necesitar aprobarse primero. En función de la configuración "Approval for running fork pull request workflows from contributors", los flujos de trabajo de solicitudes de cambios en los repositorios públicos no se ejecutarán automáticamente y pueden necesitar aprobación si:

• La solicitud de cambios la crea un usuario que requiere aprobaciones basadas en la directiva seleccionada.
• El evento de solicitud de cambios lo desencadena un usuario que requiere aprobaciones basadas en la directiva seleccionada.

Predeterminadamente, todos los contribuyentes de primera vez necesitan aprobación para ejecutar flujos de trabajo.

Los flujos de trabajo desencadenados por eventos pull_request_target se ejecutan en el contexto de la rama base. Ya que la rama base se considera como confiable, los flujos de trabajo que activen estos eventos siempre se ejecutarán, sin importar los ajustes de aprobaciones. Para obtener más información sobre el evento pull_request_target, consulta Eventos que desencadenan flujos de trabajo.

Puedes configurar este comportamiento de una organización utilizando los siguientes procedimientos. El modificar este ajuste anula el ajuste de configuraciòn a nivel empresarial.

1. En la esquina superior derecha de GitHub, haz clic en la foto del perfil y luego en Your organizations.

2. Junto a la organización, haga clic en Settings.

3. En la barra lateral de la izquierda, haz clic en Actions y luego en General.

4. En Approval for running fork pull request workflows from contributors, elige qué subconjunto de usuarios necesitará aprobación antes de ejecutar flujos de trabajo en sus solicitudes de cambios. Tanto el autor de la solicitud de cambios como el actor del evento de solicitud de cambios que desencadena el flujo de trabajo se comprobarán para determinar si se requiere aprobación. Si se requiere aprobación, un usuario con acceso de escritura al repositorio debe aprobar el flujo de trabajo de solicitud de cambios que se va a ejecutar. Consulta Aprobación de ejecuciones de flujo de trabajo desde bifurcaciones.

   Advertencia

   Cuando se requieren aprobaciones solo para colaboradores por primera vez (las dos primeras configuraciones), un usuario que haya tenido cualquier confirmación o solicitud de cambios combinadas en el repositorio no requerirá aprobación. Un usuario malintencionado podría cumplir este requisito obteniendo un simple error tipográfico u otro cambio inocuo aceptado por un mantenedor, ya sea como parte de una solicitud de cambios que han creado o como parte de la solicitud de cambios de otro usuario.

   • Requerir aprobación para los colaboradores por primera vez que no están familiarizados con GitHub. Solo los usuarios que son nuevos en GitHub y que nunca han tenido una confirmación o solicitud de cambios combinadas en este repositorio requerirán aprobación para ejecutar flujos de trabajo.
   • Requerir aprobación para colaboradores por primera vez. Solo los usuarios que nunca han tenido una confirmación o solicitud de cambios combinadas en este repositorio requerirán aprobación para ejecutar flujos de trabajo.
   • Require approval for all external contributors Todos los usuarios que no sean miembros o propietarios de este repositorio y que no sean miembros de la organización requerirán aprobación para ejecutar flujos de trabajo.

5. Haga clic en Save (Guardar) para aplicar los valores.

Para más información sobre cómo aprobar ejecuciones de flujo de trabajo a las que se aplica esta directiva, consulta Aprobación de ejecuciones de flujo de trabajo desde bifurcaciones.

Habilitar flujos de trabajo para las bifurcaciones de repositorios privados

Si se basa en el uso de bifurcaciones de sus repositorios privados, puede configurar las directivas que controlan cómo los usuarios pueden ejecutar flujos de trabajo en los eventos de pull_request. Están disponibles solo para repositorios privados e internos. Puedes configurar estas opciones de directiva para empresas, organizaciones o repositorios.

Si se inhabilita una directiva para una empresa, no podrá habilitarse para las organizaciones. Si una directiva se inhabilita para una organización, no podrá habilitarse para los repositorios. Si una organización habilita una política, esta podrá inhabilitarse para los repositorios individuales.

• Ejecutar flujos de trabajo desde solicitudes de incorporación de cambios de bifurcación: permite a los usuarios ejecutar flujos de trabajo desde solicitudes de incorporación de cambios de bifurcación, utilizando un GITHUB_TOKEN con permiso de solo lectura y sin acceso a secretos.
• Enviar tokens de escritura a flujos de trabajo desde solicitudes de incorporación de cambios: permite que las solicitudes de incorporación de cambios de bifurcaciones usen un GITHUB_TOKEN con permiso de escritura.
• Enviar secretos a flujos de trabajo desde solicitudes de incorporación de cambios: hace que todos los secretos estén disponibles para la solicitud de incorporación de cambios.
• Requerir aprobación para flujos de trabajo de solicitud de incorporación de cambios de bifurcación: las ejecuciones de flujo de trabajo en solicitudes de incorporación de cambios de colaboradores sin permiso de escritura requerirá la aprobación de alguien con permiso de escritura antes de que se ejecuten.

Configurar la política de bifurcaciones privadas para una organización

1. En la esquina superior derecha de GitHub, haz clic en la foto del perfil y luego en Your organizations.
2. Junto a la organización, haga clic en Settings.
3. En la barra lateral de la izquierda, haz clic en Actions y luego en General.
4. En Fork pull request workflows (Bifurcar flujos de trabajo de solicitud de incorporación de cambios), seleccione las opciones.
5. Haga clic en Save (Guardar) para aplicar los valores.

Establecimiento de los permisos de GITHUB_TOKEN para la organización

Puedes establecer los permisos predeterminados concedidos al GITHUB_TOKEN. Para obtener más información sobre GITHUB_TOKEN, consulta Uso de GITHUB_TOKEN para la autenticación en flujos de trabajo. Puedes elegir un conjunto restringido de permisos como valor predeterminado o aplicar la configuración permisiva.

Puede configurar los permisos predeterminados para GITHUB_TOKEN en la configuración de la organización o los repositorios. Si seleccionas una opción restrictiva como predeterminada en la configuración de tu organización, se seleccionará la misma opción en la configuración de repositorios de la organización y la opción permisiva se deshabilitará. Si tu organización pertenece a una cuenta de GitHub Enterprise y se ha seleccionado un valor predeterminado más restrictivo en la configuración de empresa, no podrás seleccionar el valor predeterminado más permisivo en la configuración de la organización.

Cualquiera con acceso de escritura en un repositorio puede modificar los permisos que se han otorgado a GITHUB_TOKEN, y agregar o quitar el acceso según sea necesario, si editan la clave permissions en el archivo de flujo de trabajo. Para más información, vea permissions.

Configuración de los permisos de GITHUB_TOKEN predeterminados

De manera predeterminada, al crear una organización, el ajuste se hereda de la configuración empresarial previamente establecida.

1. En la esquina superior derecha de GitHub, haz clic en tu foto de perfil y después en Your profile.

   

2. En la esquina superior derecha de GitHub, haz clic en la foto del perfil y luego en Your organizations.

3. Junto a la organización, haga clic en Settings.

4. En la barra lateral de la izquierda, haz clic en Actions y luego en General.

5. En "Permisos de flujo de trabajo", elige si quieres que GITHUB_TOKEN tenga acceso de lectura y escritura en todos los ámbitos (el valor permisivo), o simplemente acceso de lectura para los permisos contents y packages (el valor restrictivo).

6. Haga clic en Save (Guardar) para aplicar los valores.

Impedir que GitHub Actions cree o apruebe pull requests

Puedes elegir permitir o impedir que los flujos de trabajo GitHub Actions creen o aprueben solicitudes de incorporación de cambios.

De manera predeterminada, cuando se crea una nueva organización, no está permitido que los flujos de trabajo creen o aprueben solicitudes de incorporación de cambios.

1. En la esquina superior derecha de GitHub, haz clic en tu foto de perfil y después en Your profile.

   

2. En la esquina superior derecha de GitHub, haz clic en la foto del perfil y luego en Your organizations.

3. Junto a la organización, haga clic en Settings.

4. En la barra lateral de la izquierda, haz clic en Actions y luego en General.

5. En "Permisos de flujo de trabajo", usa la opción Permitir que Acciones de GitHub cree y apruebe solicitudes de incorporación de cambios para configurar si GITHUB_TOKEN puede crear y aprobar solicitudes de incorporación de cambios.

6. Haga clic en Save (Guardar) para aplicar los valores.

Administrar el almacenamiento en caché de GitHub Actions para una organización

Los administradores de la organización pueden ver el almacenamiento en caché de GitHub Actions para todos los repositorios de la organización.

Visualización del almacenamiento en caché de GitHub Actions por repositorio

Para cada repositorio de la organización, puedes ver la cantidad de almacenamiento en caché que usa un repositorio, el número de cachés activas y si un repositorio está cerca del límite total de tamaño de caché. Para obtener más información sobre el uso y el proceso de expulsión de la caché, consulta Referencia de almacenamiento en caché de dependencias.

1. En la esquina superior derecha de GitHub, haz clic en tu foto de perfil y después en Your profile.

   

2. En la esquina superior derecha de GitHub, haz clic en la foto del perfil y luego en Your organizations.

3. Junto a la organización, haga clic en Settings.

4. En la barra lateral de la izquierda, haz clic sobre Acciones y luego en Caches.

5. Revisa la lista de repositorios para obtener información sobre sus cachés de GitHub Actions. Puedes hacer clic en un nombre de repositorio para ver más detalles sobre las cachés del repositorio.

Configuración de la caché de GitHub Actions para tu organización

Puede configurar la retención de caché y los valores de tamaño que se aplicarán a todos los repositorios de la organización. Esta característica es de aceptación voluntaria y está disponible para los usuarios con un método de pago registrado.

Si su organización es propiedad de una empresa que tiene la configuración de caché configurada, solo puede configurar límites hasta el máximo establecido por la empresa. Si su organización no es propiedad de una empresa (o la empresa no ha configurado las opciones de caché), puede configurar hasta los máximos globales.

Los administradores del repositorio pueden optar por configurar límites para sus repositorios, pero no pueden superar los límites establecidos en el nivel de organización.

1. En la esquina superior derecha de GitHub, haz clic en tu foto de perfil y después en Your profile.

   

2. En la esquina superior derecha de GitHub, haz clic en la foto del perfil y luego en Your organizations.

3. Junto a la organización, haga clic en Settings.

4. En la barra lateral de la izquierda, haz clic en Actions y luego en General.

5. En la sección "Caché", configure y guarde los cambios en los valores siguientes: * Retención de caché: el número máximo de días para conservar las memorias caché antes de la eliminación automática. El valor predeterminado es 7 días. Puede configurar hasta 365 días (o hasta el límite establecido por su empresa). Haga clic en Guardar para aplicar los cambios que realice. * Límite de expulsión de tamaño de caché: tamaño total máximo de todas las memorias caché de un repositorio. El valor predeterminado es 10 GB. Puede configurar hasta 10 000 GB por repositorio (o hasta el límite establecido por la empresa). Cuando se supera este límite, se expulsarán las memorias caché anteriores para dejar espacio para las nuevas memorias caché. Haga clic en Guardar para aplicar los cambios que realice.

Para obtener más información sobre la expulsión de caché, consulte Referencia de almacenamiento en caché de dependencias.