À propos de GitHub Actions pour les entreprises
GitHub Actions est une plateforme d’intégration continue et livraison continue (CI/CD) qui vous permet d’automatiser votre pipeline de génération, de test et de déploiement. Avec GitHub Actions, votre entreprise peut automatiser, personnaliser et exécuter vos workflows de développement logiciel, tels que les tests et les déploiements. Pour plus d’informations, consultez « [AUTOTITLE](/admin/github-actions/getting-started-with-github-actions-for-your-enterprise/about-github-actions-for-enterprises) ».
Avant d’introduire GitHub Actions une grande entreprise, vous devez d’abord planifier votre adoption et prendre des décisions sur la façon dont votre entreprise utilisera GitHub Actions pour mieux prendre en charge vos besoins uniques.
Gouvernance et conformité
Vous devez créer un plan pour régir l’utilisation de GitHub Actions votre entreprise et respecter vos obligations de conformité.
Déterminez les actions réutilisables que vos développeurs seront autorisés à utiliser. Tout d’abord, déterminez si vous allez activer l’accès aux actions en dehors de votre instance. Dans votre entreprise, si les utilisateurs ont besoin d’accéder à d’autres actions de GitHub.com ou GitHub Marketplace, il existe quelques options de configuration. Pour plus d’informations, consultez À propos de l’utilisation d’actions dans votre entreprise.
Ensuite, commencez par décider si vous autoriserez des actions réutilisables qui n’ont pas été créés par GitHub. Vous pouvez configurer les actions réutilisables autorisés à s’exécuter au niveau du référentiel, de l’organisation et de l’entreprise et peuvent choisir d’autoriser uniquement les actions créées par GitHub. Si vous autorisez des actions réutilisables, vous pouvez limiter les actions autorisées à celles créées par des créateurs vérifiés ou une liste d’actions réutilisables.
Pour plus d’informations, consultez Gestion des paramètres de GitHub Actions pour un référentiel, Désactivation ou limitation des GitHub Actions pour votre organisation et Application de stratégies pour GitHub Actions dans votre entreprise.
Envisagez de combiner OpenID Connect (OIDC) avec des flux de travail réutilisables pour mettre en œuvre des déploiements cohérents dans votre référentiel, votre organisation ou votre entreprise. Pour cela, vous pouvez définir des conditions d’approbation au niveau de rôles cloud en fonction de workflows réutilisables. Pour plus d’informations, consultez « Utilisation d’OpenID Connect avec des workflows réutilisables ».
Vous pouvez accéder aux informations sur l'activité liée à GitHub Actions dans les journaux d'audit de votre entreprise. Si vos besoins métier nécessitent de conserver ces informations plus longtemps que les données du journal d’audit sont conservées, planifiez la façon dont vous allez exporter et stocker ces données en dehors de GitHub. Pour plus d’informations, consultez Streaming de journaux d’audit pour votre entreprise et Transfert de journaux.
Vous pouvez pratiquer le principe du privilège minimum en administrant des rôles d’organisation personnalisés pour l’accès aux paramètres dans votre GitHub Actions pipeline CI/CD. Pour plus d’informations sur les rôles d’organisation personnalisés, consultez [AUTOTITLE](/organizations/managing-peoples-access-to-your-organization-with-roles/about-custom-organization-roles).
Sécurité
Vous devez planifier votre approche du renforcement de la sécurité pour GitHub Actions.
Renforcement de la sécurité des différents workflows et dépôts
Planifiez l’application de bonnes pratiques de sécurité pour les personnes qui utilisent GitHub Actions des fonctionnalités au sein de votre entreprise. Pour plus d’informations sur ces pratiques, consultez « Informations de référence sur l’utilisation sécurisée ».
Vous pouvez aussi encourager la réutilisation des workflows qui ont déjà été évalués sur la plan de la sécurité. Pour plus d’informations, consultez « Sourcing interne ».
Sécurisation de l’accès aux secrets et aux ressources de déploiement
Vous devez prévoir où vous allez stocker vos secrets. Nous vous recommandons de stocker des secrets dans GitHub, mais vous pouvez choisir de stocker des secrets dans un fournisseur de cloud.
Dans GitHub, vous pouvez stocker des secrets au niveau du référentiel ou de l’organisation. Les secrets au niveau du dépôt peuvent être limités aux workflows de certains environnements, par exemple de production ou de test. Pour plus d’informations, consultez « Utilisation de secrets dans GitHub Actions ».
Vous devez envisager d’ajouter une protection par approbation manuelle pour les environnements sensibles, de sorte que les workflows soient obligatoirement approuvés avant d’accéder aux secrets des environnements. Pour plus d’informations, consultez « Gestion des environnements pour le déploiement ».
Considérations de sécurité pour les actions tierces
Il existe un risque important lié aux actions de sourcing à partir de référentiels tiers sur GitHub. Si vous autorisez des actions tierces, vous avez tout intérêt à créer des directives internes qui encouragent votre équipe à suivre les bonnes pratiques, notamment en faisant correspondre les actions à un SHA de commit complet. Pour plus d’informations, consultez « Informations de référence sur l’utilisation sécurisée ».
Inner sourcing
Réfléchissez à la façon dont votre entreprise peut utiliser les caractéristiques de GitHub Actions pour intégrer l'automatisation par le biais de l'innersourcing. Innersourcing est un moyen d’incorporer les avantages de open source méthodologies dans votre cycle de développement logiciel interne. Pour plus d’informations, consultez Une présentation de l’innersource dans GitHub Les ressources.
Pour partager des actions au sein de votre entreprise sans les publier publiquement, vous pouvez les stocker dans un référentiel interne, puis configurer celui-ci pour autoriser l’accès aux workflows GitHub Actions dans d’autres référentiels appartenant à la même organisation ou à toute autre organisation de l’entreprise. Pour plus d’informations, consultez « Partage d’actions et de workflows au sein de votre entreprise ».
Avec les workflows réutilisables, votre équipe peut appeler un workflow à partir d’un autre workflow, ce qui évite une duplication exactement identique. Les workflows réutilisables favorisent les bonnes pratiques en aidant votre équipe à utiliser des workflows bien conçus et déjà testés. Pour plus d’informations, consultez « Réutiliser des workflows ».
Pour offrir aux développeurs un point de départ pour la génération de nouveaux workflows, vous pouvez utiliser des modèles de workflow. Non seulement ils font gagner du temps aux développeurs, mais ils favorisent également la cohérence et les bonnes pratiques à l’échelle de votre entreprise. Pour plus d’informations, consultez « Création de modèles de workflow pour votre organisation ».
Gestion des ressources
Vous devez planifier la façon dont vous allez gérer les ressources nécessaires à l’utilisation GitHub Actions.
Configuration matérielle requise
Vous devrez peut-être mettre à niveau les ressources processeur et mémoire de votre instance GitHub Enterprise Server pour gérer la charge de GitHub Actions sans entraîner de perte de performances. Pour plus d’informations, consultez « Prise en main de GitHub Actions pour GitHub Enterprise Server ».
Coureurs
GitHub Actions les flux de travail nécessitent des exécuteurs. Vous devez héberger vos propres exécuteurs en installant l’application GitHub Actions d’exécuteur auto-hébergée sur vos propres ordinateurs. Pour plus d’informations, consultez [AUTOTITLE](/actions/hosting-your-own-runners/managing-self-hosted-runners/about-self-hosted-runners).
Déterminez si vous souhaitez utiliser des machines physiques, des machines virtuelles ou des conteneurs pour vos exécuteurs auto-hébergés. Les machines physiques conserveront des traces des tâches précédentes, tout comme les machines virtuelles, à moins que vous n’utilisiez une nouvelle image pour chaque tâche ou que vous ne nettoyiez les machines après chaque exécution de tâche. Si vous optez pour les conteneurs, sachez que la mise à jour automatique des exécuteurs arrête les conteneurs, ce qui peut entraîner l’échec des workflows. Vous devez trouver une solution à ce problème en empêchant les mises à jour automatiques de se produire ou en omettant la commande pour tuer le conteneur.
Vous devez aussi choisir à quel emplacement ajouter chaque exécuteur. Vous pouvez ajouter un exécuteur auto-hébergé à un dépôt individuel ou rendre l'exécuteur disponible pour une organisation entière ou pour l'ensemble de votre entreprise. En ajoutant les exécuteurs au niveau de l’organisation ou de l’entreprise, vous pouvez en assurer le partage et ainsi contribuer à réduire la taille de votre infrastructure d’exécuteurs. Vous pouvez utiliser des stratégies pour limiter l’accès aux exécuteurs auto-hébergés aux niveaux de l’organisation et de l’entreprise en affectant des groupes d’exécuteurs à des dépôts ou des organisations spécifiques. Pour plus d’informations, consultez « Ajout d’exécuteurs auto-hébergés » et « Gestion de l’accès aux exécuteurs auto-hébergés à l’aide de groupes ». Vous pouvez également appliquer des stratégies afin d’empêcher les utilisateurs d’utiliser des runners auto-hébergés au niveau du référentiel. Pour plus d’informations, consultez « Application de stratégies pour GitHub Actions dans votre entreprise ».
Envisagez d’utiliser la mise à l’échelle automatique pour augmenter ou diminuer automatiquement le nombre d’exécuteurs auto-hébergés disponibles. Pour plus d’informations, consultez « Documentation de référence relative aux runners auto-hébergés ».
Enfin, envisagez de renforcer la sécurité pour les exécuteurs auto-hébergés. Pour plus d’informations, consultez « Informations de référence sur l’utilisation sécurisée ».
Stockage
Artifacts vous permet de partager des données entre travaux dans un workflow, et de stocker des données une fois ce workflow terminé. Pour plus d’informations, consultez [AUTOTITLE](/actions/using-workflows/storing-workflow-data-as-artifacts).
GitHub Actions dispose également d’un système de mise en cache que vous pouvez utiliser pour mettre en cache les dépendances pour accélérer les exécutions de flux de travail. Pour plus d’informations, consultez « [AUTOTITLE](/actions/using-workflows/caching-dependencies-to-speed-up-workflows) ».
Vous devez configurer le stockage d’objets blob externe pour les artefacts de workflow, les caches et d’autres logs de workflow. Déterminez quel fournisseur de stockage pris en charge votre entreprise utilisera. Pour plus d’informations, consultez « Prise en main de GitHub Actions pour GitHub Enterprise Server ».
Vous pouvez utiliser les paramètres de stratégie pour GitHub Actions afin de personnaliser le stockage des artefacts de workflow, des caches et la conservation des journaux. Pour plus d’informations, consultez « Application de stratégies pour GitHub Actions dans votre entreprise ».
Suivi de l'utilisation
Vous devez envisager d'élaborer un plan pour suivre l'utilisation de GitHub Actions par votre entreprise. Par exemple, en surveillant la fréquence d'exécution des flux de travail, le nombre de ces exécutions qui réussissent ou échouent, ainsi que les référentiels qui utilisent ces flux de travail.
You pouvez utiliser des webhooks pour vous abonner aux informations concernant les jobs et les exécutions de workflow. Pour plus d’informations, consultez « À propos des webhooks ».
Planifiez la façon dont votre entreprise peut transmettre les informations de ces webhooks dans un système d’archivage des données et planifiez la façon dont vos équipes pourront obtenir les données dont elles ont besoin à partir de votre système d’archivage.