mergermarket/github-access

github-access Docker镜像

概述

github-access Docker镜像是一个用于管理GitHub团队对仓库访问权限的工具。它能够根据指定的JSON配置文件，设置并强制团队对目标仓库的权限状态，确保实际权限与配置文件中定义的权限一致。

核心功能与特性

• 权限管理：支持为不同团队设置对仓库的三种权限级别（admin：管理员权限，push：推送权限，pull：拉取权限）
• 配置驱动：通过JSON格式的配置文件（access.json）定义权限规则
• 一致性检查：自动检查并确保实际权限状态与配置文件一致
• 格式支持：提供两种JSON配置格式，其中一种因存在重复问题已被标记为弃用
• 错误校验：对权限配置中的异常情况（如无权管理的仓库、未配置的管理员仓库）进行错误提示

使用场景

• GitHub组织中需要统一管理多个团队对多个仓库的访问权限
• 自动化权限配置与审计，确保权限状态符合安全规范
• 避免手动设置权限导致的不一致或错误
• 需要定期同步团队与仓库权限关系的场景

使用方法

环境变量

Docker运行命令

bash
export GITHUB_TOKEN=my-team-member-github-token  # 替换为实际的GitHub令牌
docker run -i -w $PWD -v $PWD:/workspace -e GITHUB_TOKEN mergermark/github-access \
    --org my-org \                                 # 替换为GitHub组织名
    --team my-team \                               # 替换为团队名
    --access access.json                           # 权限配置文件路径

参数说明：

• -i：以交互模式运行容器
• -w $PWD：将工作目录设置为当前目录
• -v $PWD:/workspace：挂载当前目录到容器内的/workspace目录，使容器可访问本地的access.json文件
• --org：指定GitHub组织名称
• --team：指定目标团队名称
• --access：指定权限配置文件（access.json）的路径

配置文件格式

推荐格式

推荐使用以下JSON格式，可减少重复配置：

json
[
  {
    "teams": {
      "a-github-team-to-give-admin-access-to": "admin",    // 团队1拥有管理员权限
      "a-github-team-to-give-push-access-to": "push",      // 团队2拥有推送权限
      "a-github-team-to-give-pull-access-to": "pull"       // 团队3拥有拉取权限
    },
    "repos": [ "repo1", "repo2" ]                          // 应用上述权限配置的仓库列表
  }
]

已弃用格式

以下格式虽仍受支持，但因存在配置重复问题已被标记为弃用：

json
{
  "repo1": {
    "teams": {
      "a-github-team-to-give-admin-access-to": "admin",
      "a-github-team-to-give-push-access-to": "push",
      "a-github-team-to-give-pull-access-to": "pull"
    }
  },
  "repo2": {
    "teams": {
      "a-github-team-to-give-admin-access-to": "admin",
      "a-github-team-to-give-push-access-to": "push",
      "a-github-team-to-give-pull-access-to": "pull"
    }
  }
}

错误处理

容器运行时会进行以下权限校验，若不符合则产生错误：

• access.json中包含当前用户无admin权限的仓库
• 当前用户拥有admin权限的仓库未在access.json中定义

若校验通过，容器将自动调整权限，确保实际权限状态与access.json配置一致。