About rulesets

Learn how you can use rulesets to control how people interact with pushes, branches, and tags in repositories.

In diesem Artikel

About rulesets

A ruleset is a named list of rules that applies to a repository, or to multiple repositories in an organization. You can have up to 75 rulesets per repository, and 75 organization-wide rulesets.

When you create a ruleset, you can allow certain users to bypass the rules in the ruleset. This can be users with a certain role, such as repository administrator, or it can be specific teams or GitHub Apps. For more information about granting bypass permissions, see Erstellen von Regelsätzen für ein Repository.

For organizations on the GitHub Enterprise plan, you can set up rulesets at the enterprise or organization level to target multiple repositories in your organization. See Verwalten von Regelsätzen für Repositorys in deiner Organisation.

You can use rulesets to target branches or tags in a repository or to block pushes to a repository and the repository's entire fork network.

Note

Die delegierte Umgehung für Push-Regeln befindet sich derzeit in der public preview und kann noch geändert werden.

Mit der delegierten Umgehung von Push-Regelsätzen können Sie steuern, wer den Push-Schutz umgehen kann und welche gesperrten Pushs zugelassen werden sollen.

Mit delegierter Umgehung müssen Mitwirkende eines Repositorys „Rechte umgehen“ anfordern, wenn Commits mit eingeschränktem Inhalt übertragen werden. Die Anforderung wird an eine bestimmte Gruppe von Prüfern gesendet, die die Anforderung zum Umgehen der Pushregeln genehmigen oder verweigern.

Wenn die Anforderung, Pushregeln zu umgehen, genehmigt wird, kann der Mitwirkende den Commit, der den eingeschränkten Inhalt enthält, pushen. Wenn die Anforderung abgelehnt wird, muss der Mitwirkende den Inhalt aus den Commits) entfernen, die die eingeschränkten Inhalte enthalten, bevor er es erneut veröffentlicht.

Um die delegierte Umgehung zu konfigurieren, erstellen Organisationsbesitzer oder Repositoryadministratoren zuerst eine „Umgehungsliste.“ Die Umgehungsliste umfasst bestimmte Rollen und Teams, z. B. Team- oder Repositoryadministratoren, die Anforderungen zum Umgehen des Pushschutzes überwachen. Weitere Informationen findest du unter Verwalten von Regelsätzen für Repositorys in deiner Organisation und Informationen zu Regelsätzen.

Branch and tag rulesets

You can create rulesets to control how people can interact with selected branches and tags in a repository. You can control things like who can push commits to a certain branch and how the commits must be formatted, or who can delete or rename a tag. For example, you could set up a ruleset for your repository's feature branch that requires signed commits and blocks force pushes for all users except repository administrators.

For each ruleset you create, you specify which branches or tags in your repository, or which repositories in your organization, the ruleset applies to. You can use fnmatch syntax to define a pattern to target specific branches, tags, and repositories. For example, you could use the pattern releases/**/* to target all branches in your repository whose name starts with the string releases/. For more information on fnmatch syntax, see Erstellen von Regelsätzen für ein Repository.

Push rulesets

Mit Pushregelsätzen können Sie Pushes an ein privates oder internes Repository blockieren und das gesamte Forknetzwerk dieses Repositorys basierend auf Dateierweiterungen, Dateipfadlängen, Datei- und Ordnerpfaden und Dateigrößen blockieren.

Pushregeln erfordern keine Verzweigungsadressierung, da sie für jeden Push an das Repository gelten.

Push-Regelsätze ermöglichen Folgendes:

  • Einschränken von Dateipfaden: Verhindern Sie bei Commits, die Änderungen in angegebenen Dateipfaden enthalten, dass sie gepusht werden.

    Sie können fnmatch-Syntax hierfür verwenden. Eine Einschränkung, die zum Beispiel auf test/demo/**/* zielt, verhindert Pushes an Dateien oder Ordner im test/demo/-Verzeichnis. Eine Einschränkung mit Ziel test/docs/pushrules.md verhindert Pushs, speziell an die pushrules.md-Datei im test/docs/-Verzeichnis. Weitere Informationen finden Sie unter Erstellen von Regelsätzen für ein Repository.

  • Dateipfadlänge einschränken: Verhindern Sie Commits, die Dateipfade enthalten, die ein angegebenes Zeichenlimit überschreiten, per Push verschoben werden.

  • Einschränken von Dateierweiterungen: Verhindern Sie Commits, die Dateien mit angegebenen Dateierweiterungen enthalten, pushen.

  • Dateigröße einschränken: Verhindern Sie Commits, die eine angegebene Dateigrößenbeschränkung überschreiten, verschoben werden.

Informationen zu Pushregelsätzen für Fork-Repositorys

Pushregeln gelten für das gesamte Forknetzwerk für ein Repository, um sicherzustellen, dass jeder Einstiegspunkt im Repository geschützt ist. Wenn Sie beispielsweise ein Repository verzweigen, das Push-Regelsätze aktiviert hat, gelten dieselben Push-Regelsätze auch für Ihr Fork-Repository.

Bei einem Fork-Repository sind die einzigen Personen, die über Umgehungsberechtigungen für eine Pushregel verfügen, die Personen, die über Umgehungsberechtigungen im Stamm-Repository verfügen.

About rulesets and protected branches

Rulesets work alongside any branch protection rules in a repository. Many of the rules you can define in rulesets are similar to protection rules, and you can start using rulesets without overriding any of your existing protection rules.

Rulesets have the following advantages over branch protection rules.

  • Unlike protection rules, multiple rulesets can apply at the same time, so you can be confident that every rule targeting a branch in your repository will be evaluated when someone interacts with that branch. See About rule layering.
  • Rulesets have statuses, so you can easily manage which rulesets are active in a repository without needing to delete rulesets.
  • Anyone with read access to a repository can view the active rulesets for the repository. This means a developer can understand why they have hit a rule, or an auditor can check the security constraints for the repository, without requiring admin access to the repository.
  • You can create additional rules to control the metadata of commits entering a repository, such as the commit message and the author's email address. See Verfügbare Regeln für Regelsätze."

Using ruleset enforcement statuses

Beim Erstellen oder Bearbeiten Ihres Regelsatzes können Sie Erzwingungsstatus verwenden, um zu konfigurieren, wie Ihr Regelsatz erzwungen wird.

Sie können einen der folgenden Erzwingungsstatus für Ihr Regelsatz auswählen.

  • Active: Dein Regelsatz wird beim Erstellen erzwungen.
  • Evaluate: Dein Regelsatz wird nicht erzwungen, doch du kannst überwachen auf der Seite „Rule Insights“ überwachen, welche Aktionen die Regeln verletzen würden.
  • Disabled: Dein Regelsatz wird nicht erzwungen oder ausgewertet.

Die Verwendung des Modus „Auswerten“ ist eine hervorragende Option zum Testen des Regelsets, ohne es zu erzwingen. Sie können die Seite „Regeleinblicke“ verwenden, um festzustellen, ob der Beitrag gegen die Regel verstoßen hätte. Weitere Informationen finden Sie unter Verwalten von Regelsätzen für ein Repository.

About rule layering

A ruleset does not have a priority. Instead, if multiple rulesets target the same branch or tag in a repository, the rules in each of these rulesets are aggregated. If the same rule is defined in different ways across the aggregated rulesets, the most restrictive version of the rule applies. As well as layering with each other, rulesets also layer with protection rules targeting the same branch or tag.

For example, consider the following situation for the my-feature branch of the octo-org/octo-repo repository.

  • An administrator of the repository has set up a ruleset targeting the my-feature branch. This ruleset requires signed commits, and three reviews on pull requests before they can be merged.
  • An existing branch protection rule for the my-feature branch requires a linear commit history, and two reviews on pull requests before they can be merged.
  • An administrator of the octo-org organization has also set up a ruleset targeting the my-feature branch of the octo-repo repository. The ruleset blocks force pushes, and requires one review on pull requests before they can be merged.

The rules from each source are aggregated, and all rules apply. Where multiple different versions of the same rule exist, the result is that the most restrictive version of the rule applies. Therefore, the my-feature branch requires signed commits and a linear commit history, force pushes are blocked, and pull requests targeting the branch will require three reviews before they can be merged.

Next steps

Next, learn how to communicate important information with members of your enterprise using READMEs. See Create a README for your enterprise.