Управление доступом в GitHub Organizations

Быстрые ссылки

• Изменение базовых прав

• Использование команд GitHub

• Добавление команд к репозиториям

Почему это важно

GitHub Organizations — это отдельный тип учётной записи, подходящий для компаний, open source‑команд и проектов с несколькими репозиториями. Если вы управляете доступом вручную в каждом репозитории, масштабирование становится проблемой. Организации позволяют задать базовую политику доступа и более тонко настраивать права через команды.

Важно: по умолчанию «Member» имеет только права чтения ко всем репозиториям организации. Если вам нужно массово разрешить запись, измените базовое разрешение организации или используйте команды.

Изменение базовых прав (Base Permissions)

Базовые права задаются на уровне организации и применяются ко всем приватным репозиториям организации (для публичных репозиториев поведение отличается). Чтобы изменить их:

1. Перейдите на страницу вашей организации в GitHub.
2. Откройте «Settings» (Настройки) организации.
3. Найдите раздел «Member privileges» и в выпадающем списке поставьте нужное базовое разрешение (Read, Write, Admin).

Если вы даёте «Admin», участники смогут добавлять коллабораторов и управлять настройками репозиториев — это повышает риск, поэтому используйте Admin только для доверенных администраторов.

Примечание: приглашать отдельных коллабораторов всё ещё можно из настроек конкретного репозитория: раздел «Collaborators and teams».

Использование команд GitHub (Teams)

Команды — основной инструмент для управления группами пользователей. Они позволяют:

• Группировать пользователей по проектам, функциям или ролям.
• Назначать права доступа к конкретным репозиториям на уровне команды.
• Вести обсуждения, где можно упоминать команду через @teamname.

Как создать команду:

1. На странице организации откройте вкладку «Teams».
2. Нажмите «New team» и задайте имя, видимость (Private/Public) и опционально родительскую команду.

Видимая команда может быть упомянута другими участниками организации. Приватная команда скрыта от большинства, но это полезно для закрытых групп.

После создания вы попадёте на страницу обзора команды, где можно добавлять участников и настраивать её права:

Добавление команд к репозиториям

Чтобы назначить команде доступ к репозиторию:

1. Перейдите в настройки нужного репозитория (Settings).
2. Выберите «Collaborators and teams».
3. Добавьте команду и установите уровень доступа: Read, Triage, Write, Maintain, Admin.

Значения уровней прав:

• Read — только чтение кода и issues.
• Triage — управление issue и PR (подходит для саппорта и модерации).
• Write — запись (push/merge с правами, зависящими от ветвления).
• Maintain — управление настройками репозитория и ветками, но без полного Admin доступа.
• Admin — полный доступ и управление настройками репозитория.

Практические рекомендации и безопасность

• Принцип наименьших привилегий: давайте минимально необходимые права. Для большинства участников подходит Write или Triage, а Admin — только для владельцев и доверенных инженеров.
• Используйте команды для внешних подрядчиков: заведите отдельную команду с ограниченным набором репозиториев и строгими сроками доступа.
• Логи и аудит: периодически проверяйте историю приглашений и изменений разрешений.
• Ограничьте использование «Admin» на уровне организации: слишком много админов увеличивает риск утечки.

Чек-листы по ролям

Роль: Владелец организации

• Проверьте базовые права организации.
• Настройте политику MFA (многофакторная аутентификация) для всех участников.
• Удалите неактивных участников.

Роль: Мейнтейнер команды

• Создайте иерархию команд для подсегментации доступа.
• Назначьте права Maintain/Write по необходимости.
• Регулярно проводите ревью участников команды.

Роль: Владелец репозитория

• Контролируйте список коллабораторов в репозитории.
• Настройте правила ветвления и требования к PR (reviewers, CI).

Когда этот подход не подходит

• Если у вас один‑два репозитория и команда очень маленькая, может быть проще управлять доступом вручную.
• Для публичных репозиториев часть прав работает по другому, и базовые права организации не покрывают все сценарии — проверяйте настройки видимости репозитория.

Быстрое принятие решения: схема

flowchart TD
  A[Нужно дать права множеству людей?] -->|Да| B{Должны ли они иметь доступ ко всем репозиториям?}
  A -->|Нет| C[Добавить как индивидуальных коллабораторов в нужные репозитории]
  B -->|Да| D[Изменить базовые права организации]
  B -->|Нет| E[Создать команду и назначить её в нужные репозитории]
  D --> F[Проверить риск и назначить админов]
  E --> F

Критерии приёмки

• Все активные участники имеют корректный уровень доступа (проверено списком).
• Нет лишних аккаунтов с Admin правами.
• Для каждого важного репозитория настроены команды или явно указаны ответственные владельцы.

Отладка и восстановление прав

• Если пользователь не видит репозиторий — проверьте его членство в организации и базовые права, а также наличие команды с нужным доступом.
• Если после изменения прав возникают проблемы с CI/CD — проверьте учётную запись сервиса и её права в репозитории.

Краткая памятка (cheat sheet)

• Базовые права организации влияют на всех участников; используйте осторожно.
• Создавайте команды для групповой выдачи прав и обсуждений.
• Применяйте Maintain и Triage для тонкой настройки обязанностей.
• Администрирование — только для доверенных лиц.

Глоссарий в одну строку

• Organization — учётная запись для управления набором репозиториев и пользователей.
• Team — группа пользователей внутри организации.
• Base permissions — базовый уровень доступа, применяемый к участникам организации.

Сводка

• Используйте команды, чтобы упростить управление доступом и сократить ручную работу.
• Меняйте базовые права организации только при полном понимании рисков.
• Регулярно пересматривайте состав команд и права, чтобы поддерживать безопасность и порядок.