组织的存储库角色
你可以通过分配角色,为组织成员、外部协作者和人员团队提供对组织仓库不同级别的权限。 选择最适合每个人或团队在项目中的职能的角色,而不是提供超过其需求的项目权限。
组织存储库的角色从低到高的权限级别分别为:
- 读取: 建议分配给需要查看或讨论项目的非代码参与者
- 分类: 建议提供给不具有写入访问权限、需要主动管理问题、讨论和拉取请求的参与者
- 写入: 建议分配给积极向项目推送内容的参与者
- 维护: 建议分配给需要在没有敏感或破坏性操作权限的情况下管理存储库的项目管理员
- 管理: 建议分配给需要完全访问项目的人,包括管理安全性或删除存储库等敏感和破坏性操作
可以创建自定义存储库角色。 有关详细信息,请参阅“管理组织的自定义存储库角色”。
组织所有者可以在访问组织的任何仓库时设置适用于组织所有成员的基本权限。 有关详细信息,请参阅“为组织设置基本权限”。
组织所有者还可以选择进一步限制对整个组织中某些设置和操作的权限。 有关特定设置选项的详细信息,请参阅 管理组织设置。
除了管理组织级设置之外,组织所有者对组织拥有的每个存储库都具有管理员权限。 有关详细信息,请参阅“组织中的角色”。
警告
当有人向存储库添加部署密钥时,拥有私钥的任何用户都可以读取或写入存储库(具体取决于密钥设置),即使他们后来从组织中删除也是如此。
每个角色的权限
注意
下面的安全功能的访问要求中列出了使用安全功能所需的角色。
| 仓库操作 | 读取 | 会审 | 写入 | 维护 | 管理员 |
|---|---|---|---|---|---|
| 管理个人、团队和外部协作者对存储库的访问 |
<span role="img" class="octicon-bg-x" aria-label="No">✗</span> |
<span role="img" class="octicon-bg-x" aria-label="No">✗</span> |
<span role="img" class="octicon-bg-x" aria-label="No">✗</span> |
<span role="img" class="octicon-bg-x" aria-label="No">✗</span> |
<span role="img" class="octicon-bg-check" aria-label="Yes">✓</span> |
| 从人员或团队的已分配仓库拉取 |
✓ |
✓ |
✓ |
✓ |
✓ |
| 复刻人员或团队的已分配仓库 |
✓ |
✓ |
✓ |
✓ |
✓ |
| 编辑和删除自己的评论 |
✓ |
✓ |
✓ |
✓ |
✓ |
| 打开议题 |
✓ |
✓ |
✓ |
✓ |
✓ |
| 关闭自己打开的议题 |
✓ |
✓ |
✓ |
✓ |
✓ |
| 重新打开自己关闭的议题 |
✓ |
✓ |
✓ |
✓ |
✓ |
| 受理议题 |
✓ |
✓ |
✓ |
✓ |
✓ |
| 从团队已分配仓库的复刻发送拉取请求 |
✓ |
✓ |
✓ |
✓ |
✓ |
| 提交拉取请求审查 |
✓ |
✓ |
✓ |
✓ |
✓ |
| 批准或请求对需要评审的拉取请求的更改 |
✗ |
✗ |
✓ |
✓ |
✓ |
| 对拉取请求应用建议的更改 |
✗ |
✗ |
✓ |
✓ |
✓ |
| 查看已发布的版本 |
✓ |
✓ |
✓ |
✓ |
✓ |
| |
| 查看 GitHub Actions 工作流运行 |
✓ |
✓ |
✓ |
✓ |
✓ |
| |
| 编辑公共仓库中的 Wiki |
✓ |
✓ |
✓ |
✓ |
✓ |
| 编辑私有仓库中的 Wiki |
✗ |
✗ |
✓ |
✓ |
✓ |
| |
| 举报滥用或垃圾内容 |
✓ |
✓ |
✓ |
✓ |
✓ |
| |
| 应用/忽略标签 |
✗ |
✓ |
✓ |
✓ |
✓ |
| 创建、编辑、删除标签 |
✗ |
✗ |
✓ |
✓ |
✓ |
| 关闭、重新打开和分配所有议题与拉取请求 |
✗ |
✓ |
✓ |
✓ |
✓ |
| 针对拉取请求启用和禁用自动合并 |
✗ |
✗ |
✓ |
✓ |
✓ |
| 创建、编辑、删除里程碑 |
✗ |
✗ |
✓ |
✓ |
✓ |
| 应用里程碑 |
✗ |
✓ |
✓ |
✓ |
✓ |
| 标记重复问题和拉取请求|
✗ |
✓ |
✓ |
✓ |
✓ |
| 请求拉取请求审查 |
✗ |
✓ |
✓ |
✓ |
✓ |
| 合并拉取请求 |
✗ |
✗ |
✓ |
✓ |
✓ |
| 推送到(写入)人员或团队的已分配仓库 |
✗ |
✗ |
✓ |
✓ |
✓ |
| 编辑和删除任何人对提交、拉取请求和议题的评论 |
✗ |
✗ |
✓ |
✓ |
✓ |
| 隐藏任何人的评论 |
✗ | { |
✓ |
✓ |
✓ |
| 锁定对话 |
✗ |
✗ |
✓ |
✓ |
✓ |
| 传输议题(请参阅 将问题转移到其他仓库 了解详细信息) |
✗ |
✗ |
✓ |
✓ |
✓ |
| 作为存储库的指定代码所有者 |
✗ |
✗ |
✓ |
✓ |
✓ |
| 将拉取请求草稿标记为可供审查 |
✗ |
✗ |
✓ |
✓ |
✓ |
| 将拉取请求转换为草稿 |
✗ |
✗ |
✓ |
✓ |
✓ |
| 创建状态检查 |
✗ |
✗ |
✓ |
✓ |
✓ |
| |
| 创建、编辑、运行、重新运行和取消 GitHub Actions 工作流 |
✗ |
✗ |
✓ |
✓ |
✓ |
| |
| |
| 在 GitHub.com 上创建、更新和删除 GitHub Actions 机密 |
✗ |
✗ |
✗ |
✗ |
✓ |
| |
| 使用 REST API 创建、更新和删除GitHub Actions机密 |
✗ |
✗ |
✓ |
✓ |
✓ |
| |
| 在 GitHub.com 上创建、更新和删除 GitHub Actions 变量 |
✗ |
✗ |
✗ |
✗ |
✓ |
| |
| 使用 REST API 创建、更新和删除 GitHub Actions 变量 |
✗ |
✗ |
✓ |
✓ |
✓ |
| 创建和编辑发行版 |
✗ |
✗ |
✓ |
✓ |
✓ |
| 查看发行版草稿 |
✗ |
✗ |
✓ |
✓ |
✓ |
| 编辑仓库的说明 |
✗ |
✗ |
✗ |
✓ |
✓ |
| |
| 查看和安装包 |
✓ |
✓ |
✓ |
✓ |
✓ |
| 发布包 |
✗ |
✗ |
✓ |
✓ |
✓ |
| 删除和还原包 |
✗ |
✗ |
✗ |
✗ |
✓ |
| |
| 管理主题 |
✗ |
✗ |
✗ |
✓ |
✓ |
| 启用 wiki 和限制 wiki 编辑器 |
✗ |
✗ |
✗ |
✓ |
✓ |
| |
| 配置拉取请求合并 |
✗ |
✗ |
✗ |
✓ |
✓ |
| 为 GitHub Pages 配置发布源 |
✗ |
✗ |
✗ |
✓ |
✓ |
| |
| 查看 GitHub Copilot 的内容排除设置 |
✗ |
✗ |
✗ |
✓ |
✓ |
| |
| 管理分支保护规则和存储库规则集 |
✗ |
✗ |
✗ |
✗ |
✓ |
| 查看存储库的规则集 |
✓ |
✓ |
✓ |
✓ |
✓ |
| 推送到受保护的分支
不适用于规则集,因为其绕过模型不同。 请参阅为分支或标记规则集授予绕过权限。 |
✗ |
✗ |
✗ |
✓ |
✓ |
| 合并受保护分支上的拉取请求(即使没有批准审查) |
✗ |
✗ |
✗ |
✗ |
✓ |
| |
| 创建和编辑存储库社交卡 |
✗ |
✗ |
✗ |
✓ |
✓ |
| |
| 限制存储库中的交互|
✗ |
✗ |
✗ |
✓ |
✓ |
| |
| 删除议题(请参阅 删除议题) |
✗ |
✗ |
✗ |
✗ |
✓ |
| 定义存储库的代码所有者 |
✗ |
✗ |
✓ |
✓ |
✓ |
| 向团队添加仓库(请参阅 管理团队对组织存储库的访问 了解详细信息) |
✗ |
✗ |
✗ |
✗ |
✓ |
| 管理外部协作者对存储库的访问 |
✗ |
✗ |
✗ |
✗ |
✓ |
| 更改存储库的可见性 |
✗ |
✗ |
✗ |
✗ |
✓ |
| 将仓库设为模板(请参阅 创建模板仓库) |
✗ |
✗ |
✗ |
✗ |
✓ |
| 更改仓库设置 |
✗ |
✗ |
✗ |
✗ |
✓ |
| 管理团队和协作者对仓库的权限 |
✗ |
✗ |
✗ |
✗ |
✓ |
| 编辑仓库的默认分支 |
✗ |
✗ |
✗ |
✗ |
✓ |
| 重命名仓库的默认分支(请参阅 重命名分支) |
✗ |
✗ |
✗ |
✗ |
✓ |
| 重命名仓库默认分支以外的其他分支(请参阅 重命名分支) |
✗ |
✗ |
✓ |
✓ |
✓ |
| 管理 web 挂钩和部署密钥 |
✗ |
✗ |
✗ |
✗ |
✓ |
| 管理存储库的分支创建策略 |
✗ |
✗ |
✗ |
✗ |
✓ |
| 将存储库转移到组织中 |
✗ |
✗ |
✗ |
✗ |
✓ |
| 从组织中删除或转移存储库 |
✗ |
✗ |
✗ |
✗ |
✓ |
| 存档存储库 |
✗ |
✗ |
✗ |
✗ |
✓ |
| |
| 显示赞助按钮(请参阅 在代码库中显示赞助按钮) |
✗ |
✗ |
✗ |
✗ |
✓ |
| |
| 创建对外部资源的自动链接引用,例如 Jira 或 Zendesk(请参阅 配置自动链接以引用外部资源) |
✗ |
✗ |
✗ |
✗ |
✓ |
| 在存储库中启用 GitHub Discussions |
✗ |
✗ |
✗ |
✓ |
✓ |
| 为 GitHub Discussions 创建和编辑类别 |
✗ |
✗ |
✓ |
✓ |
✓ |
| 将讨论移至其他类别 |
✗ | { |
✓ |
✓ |
✓ |
| 将讨论转移到新的存储库|
✗ |
✗ |
✓ |
✓ |
✓ |
| 管理置顶的讨论 |
✗ |
✗ |
✓ |
✓ |
✓ |
| 锁定和解锁讨论 |
✗ |
✓ |
✓ |
✓ |
✓ |
| 单独将问题转化为讨论 |
✗ |
✓ |
✓ |
✓ |
✓ |
| 创建新讨论并对现有讨论发表评论 |
✓ |
✓ |
✓ |
✓ |
✓ |
| 删除讨论 |
✗ |
✓ |
✓ |
✓ |
✓ |
| |
| 为专用/内部存储库创建 codespace |
✓ |
✓ |
✓ |
✓ |
✓ |
| 使用 Codespaces 机密访问权限为专用/internal 存储库创建 Codespaces | | |
✓ |
✓ |
✓ |
| 为公共存储库创建 codespace
(具有只读访问权限的用户只能自费创建代码空间) |
✓ |
✓ |
✓ |
✓ |
✓ |
| |
| 编辑仓库的自定义属性值 |
✗ |
✗ |
✗ |
✗ |
✓ |
安全功能的访问要求
在本部分可以找到 GitHub Advanced Security 等安全功能所需的访问权限。
注意
存储库作者和维护者只能直接查看他们自己提交的机密扫描警报信息。 他们无法访问警报列表视图。
| 仓库操作 | 读取 | 会审 | 写入 | 维护 | 管理员 |
|---|---|---|---|---|---|
| 接收存储库中不安全的依赖项的 Dependabot alerts |
<span role="img" class="octicon-bg-x" aria-label="No">✗</span> |
<span role="img" class="octicon-bg-x" aria-label="No">✗</span> |
<span role="img" class="octicon-bg-check" aria-label="Yes">✓</span> |
<span role="img" class="octicon-bg-check" aria-label="Yes">✓</span> |
<span role="img" class="octicon-bg-check" aria-label="Yes">✓</span> |
| 忽略 Dependabot alerts | ✗ | ✗ | ✓ | ✓ | ✓ | | | | 指定其他人员或团队接收安全警报 | ✗ | ✗ | ✗ | ✗ | ✓ | | | | | | 创建安全通告 | ✗ | ✗ | ✗ | ✗ | ✓ | | | | 管理对 GitHub Advanced Security 功能的访问权限(请参阅 管理组织的安全和分析设置) | ✗ | ✗ | ✗ | ✗ | ✓ | | | | 为专用存储库启用依赖项关系图 | ✗ | ✗ | ✗ | ✗ | ✓ | | | | | | 查看依赖项审查 | ✓ | ✓ | ✓ | ✓ | ✓ | | | | 查看拉取请求上的 code scanning 警报 | ✓ | ✓ | ✓ | ✓ | ✓ | | 列出、消除和删除 code scanning 警报 | ✗ | ✗ | ✓ | ✓ | ✓ | | 查看和消除存储库中的 机密扫描警报 | ✗ | ✗ | ✓ | ✓ | ✓ | | 解决、撤销或重新打开 机密扫描警报 | ✗ | ✗ | ✓ | ✓ | ✓ | | | | | | 指定其他人员或团队接收存储库中的 机密扫描警报 | ✗ | ✗ | ✗ | ✗ | ✓ | | |