Enterprise Server 3.3 release notes

MEDIUM: Prevents an attack where a server-side request forgery (SSRF) could potentially force the Subversion (SVN) bridge to execute remote code by injecting arbitrary data into Memcached.

MEDIUM: Prevents an attacker from executing Javascript code by exploiting a cross-site scripting (XSS) vulnerability in dropdown UI elements within the GitHub Enterprise Server web interface.

Updates Grafana to version 7.5.16, which addresses various security vulnerabilities including CVE-2020-13379 and CVE-2022-21702.

Packages have been updated to the latest security versions.

Fixed an issue where the files inside the artifact zip archives had permissions of 000 when unpacked using an unzip tool. Now the files will have the permissions set to 644, the same way as it works in GitHub.com.

In some cases, the collectd daemon could consume excess memory.

In some cases, backups of rotated log files could accumulate and consume excess storage.

After an upgrade to a new feature release and subsequent configuration run, Elasticsearch could log excessive exceptions while rebuilding indices.

In some cases where a protected branch required more than one approving review, a pull request could be merged with fewer than the required number of approving reviews.

On instances using LDAP authentication, the authentication prompt for sudo mode incorrectly placed the cursor within the password field by default when text fields for both a username and password were visible.

中: github.company.com及びgithub-company.comが内部のサービスによって同じホスト名と評価されないようにして、潜在的なサーバーサイドセキュリティフォージェリ（SSRF）攻撃を防ぎます。

低: 外部のファイアウォールールがHTTPアクセスをブロックしている場合でも、HTTP経由のパストラバーサル攻撃で攻撃者がManagement Consoleにアクセスできました。

パッケージは最新のセキュリティバージョンにアップデートされました。

サイト管理者が自動的にEnterpriseオーナーとして追加されないことがありました。

ブランチをデフォルトのブランチにマージしたあと、ファイルの"History"リンクがターゲットのブランチではなく以前のブランチへのリンクのままになります。

名前のような特定のフィールドの値が長すぎる場合に、チェックの実行もしくはチェックスイートの作成ないしアップデートが500 Internal Server Errorを返すことがあります。

パッケージは最新のセキュリティバージョンにアップデートされました。

GitHub Enterprise Serverの設定ファイル中のホスト名を検証する内部的なスクリプトが、ホスト名の文字列が"."（ピリオド）で始まっているとエラーを返します。

プライマリノードのホスト名が60文字以上の長さになっているHA構成において、MySQLの設定に失敗します。

ghe-setup-networkコマンドに--gateway引数が追加され、コマンドラインを使ってネットワーク設定をする際にゲートウェイのアドレスを渡せるようになりました。

削除された画像の添付ファイルは、404 Not Foundエラーではなく500 Internal Server Errorを返します。

サイトアドミンのダッシュボードで報告される"maximum committers across entire instance（インスタンス全体での最大のコミッタ数）"の計算は正しくありませんでした。

GitHub Enterprise Serverバックアップユーティリティを試用した復元の実行時に、リポジトリレプリカの不正確なデータベースエントリによって、データベースが破損しました。

クラスタのSupport Bundleの生成時に、含めるメトリクスを最適化しました。

Elasticsearchが有効な黄色のステータスを報告してきた場合のHA構成において、以前の修正で導入された変更がghe-repl-stopコマンドをブロックし、レプリカの停止を妨げます。ghe-repo-stop --forceを使用すれば、Elasticsearchのサービスが通常もしくは有効な黄色のステータスにある場合に、強制的にElasticsearchが停止されます。

ghe-migratorを使う場合、もしくはGitHub.comからエクスポートする場合、移行でPull Requestの添付のエクスポートに失敗します。

中: DNSサーバーからのUDPパケットを偽造できる攻撃者が1バイトのメモリオーバーライトを起こし、ワーカープロセスをクラッシュさせたり、その他の潜在的にダメージのある影響を及ぼせるような、nginxリゾルバのセキュリティ問題が特定されました。この脆弱性にはCVE-2021-23017が割り当てられました。

actions/checkout@v2及びactions/checkout@v3アクションが更新され、Gitセキュリティ施行ブログポストでアナウンスされた新しい脆弱性に対処しました。

パッケージは最新のセキュリティバージョンにアップデートされました。

一部のクラスタトポロジーで、ghe-cluster-statusコマンドが/tmpに空のディレクトリを残しました。

SNMPが誤って大量のCannot statfsエラーメッセージをsyslogに記録しました。

SAML認証が設定され、ビルトインのフォールバックが有効化されたインスタンスで、ビルトインのユーザがログアウト後に生成されたページからサインインしようとすると、“login”ループに捕まってしまいます。

/stafftools/repositories/:owner/:repo/diskページからgit fsckの出力を見ようとすると、500 Internal Server Errorで失敗します。

SAML暗号化されたアサーションを利用する場合、一部のアサーションは正しくSSHキーを検証済みとしてマークしませんでした。

Issueコメントにアップロードされたビデオが適切にレンダリングされません。

リポジトリページでファイルファインダーを使おうとしたとき、検索フィールド内でバックスペースキーを入力すると、検索結果が複数回リストされ、レンダリングの問題が生じます。

GitHub Enterprise Importerを使ってリポジトリをインポートしようとすると、プロジェクトのタイムラインイベントが正しく設定されていないことから、一部のIssueのインポートに失敗します。

ghe-migratorを使う場合、移行はIssueやPull Request内のビデオの添付ファイルのインポートに失敗します。

リポジトリに非ASCII文字が含まれているタグがある場合、リリースページが500エラーを返します。[更新: 2022年06月10日]

高可用性構成では、Management Consoleのレプリケーションの概要ページが現在のレプリケーションのステータスではなく、現在のレプリケーション設定だけを表示することを明確にしてください。

GitHub Packagesを有効化する場合、接続文字列としてのShared Access Signature (SAS)トークンの利用は現在サポートされていないことを明確にしてください。

Support BundleにはMySQLに保存されたテーブルの行数が含まれるようになりました。

どのリポジトリネットワークでスケジュールされたメンテナンスをオンにするかを判断する際に、到達不能なオブジェクトのサイズはカウントされなくなりました。

Workflow runs API及びworkflow_runイベントwebhookのペイロードに、run_started_atレスポンスフィールドが含まれるようになりました。

パッケージは最新のセキュリティバージョンにアップデートされました。

マニフェストファイルがリポジトリから削除されたとき、そのマニフェストがリポジトリの"Dependency graph（依存関係グラフ）"ページから削除されません。

GitHub Actionsの成果物の取得とログアーカイブのダウンロードの一貫した失敗につながりうるリグレッションが解決されました。環境によってはlocalhostを使った内部的な通信のURLの解決を停止し、その代わりにインスタンスのホスト名を誤って使用していました。

アップグレードパッケージで高可用性ペアのノードをアップグレードすると、Elasticsearchが不整合な状態になることがあります。

.backupという拡張子を持つローテートされたログファイルが、システムログを含むディレクトリに蓄積されます。

一部のクラスタトポロジでは、コマンドラインユーティリティのghe-spokesctl及びghe-btopの実行が失敗します。

パッケージのアップグレードの間に、elasticsearch-upgradeサービスが複数回並列に実行されることから、Elasticsearchのインデックスが複製されることがあります。

Pull Requestとコメントのビューで、リッチdiffがGit LFSによって追跡されている一部のファイルのロードに失敗します。

ユーザアカウントをOrganizationに変換する際に、そのユーザアカウントがGitHub Enterprise Server Enterpriseアカウントのオーナーだった場合、変換されたOrganizationは誤ってEntepriseオーナーのリストに表示されます。

OAuth Application IDがマッチするインテグレーションが既に存在する場合、Enterprise Administration REST APIを使った偽装OAuthトークンの作成はエラーになりました。

検出されたシークレットにUTF8文字がある場合、Secret Scanning REST APIがレスポンスコード500を返します。

データがローカルキャッシュの場所から利用できる場合であっても、リポジトリキャッシュサーバーが非キャッシュの場所からデータを提供することがあります。

設定の適用の実行を停止させる設定エラーは、設定ログに加えてターミナルにも出力されるようになりました。

Memcachedで許されている最大よりも長い値をキャッシュしようとするとエラーが生じますが、キーは報告されませんでした。

インスタンスでGitHub Advanced Securityの機能が有効化されている場合、リポジトリのコントリビューションに対するバッチを処理している際のバックグラウンドジョブのパフォーマンスが改善されました。

中: CSRF保護のバイパスを許してしまうパストラバーサルの脆弱性が、GitHub Enterprise ServerのManagement Consoleで特定されました。この脆弱性は3.5以前のすべてのGitHub Enterprise Serverのバージョンに影響し、バージョン3.1.19、3.2.11、3.3.6、3.4.1で修正されました。この脆弱性はGitHub Bug Bountyプログラムを通じて報告され、CVE-2022-23732が割り当てられました。

中: yajilの1.xブランチ及び2.xブランチで、整数オーバーフローの脆弱性が特定されました。これは、大きな（2GB以上）の入力を処理する際に、それ以降のヒープメモリの破壊につながるものです。この脆弱性は内部的に報告され、CVE-2022-24795が割り当てられました。

GitHub Actionsが有効化されている場合、Support Bundleにセンシティブなファイルが含まれることがありました。

パッケージは最新のセキュリティバージョンにアップデートされました。

Dependabotを有効にするとき、エラーによって一部のセキュリティアドバイザリが一時的に適用不能になったものとして読まれました。

GitHub Enterprise Serverのアップグレード後に、古い設定オプションが残っている場合、MinioのプロセスのCPU使用率が高くなります。

Management Consolemのプライバシー設定でTLS 1.0とTLS 1.1の有効化のオプションが表示されていましたが、これらのプロトコルバージョンは以前のリリースで削除されていました。

HA環境において、MSSQLのレプリケーション設定には初回のGitHub Actionsの有効化のあとに、手作業の追加ステップが必要になることがあります。

内部設定ファイルの一部は、ホットパッチ後にさらに確実に更新されます。

ghe-run-migrationsスクリプトは、一時的な証明書名を正しく生成するのに失敗することがあります。

クラスタ環境において、複数のWebノードをまたぐ内部APIの失敗によって、Git LFSの操作が失敗することがありました。

gpg --importを使うpre-receiveフックが、不十分なsyscall権限のためにタイムアウトしました。

一部のクラスタトポロジーにおいて、webhookの配信情報が利用できませんでした。

移行の実行中に、Elasticsearchのヘルスチェックが黄色のクラスタのステータスを許しません。

リポジトリは、機能しないディスカッションタブをWeb UIに表示します。

ユーザが自分のアカウントをOrganizationに変換した結果作成されたOrganizationが、グローバルなEnterpriseアカウントに追加されませんでした。

アクセスできないページへのリンクが削除されました。

GitHub Actionsデプロイメントグラフで、保留中のジョブの連打リンクの際にエラーが表示されます。

大量の不要なバックグラウンドジョブがキューイングされたために、一部のインスタンスでCPU使用率が高くなりました。

以前に同期されていなかったGPGキーを同期しようとした際に、LDAPユーザの同期ジョブが失敗します。

ユーザのPull RequestダッシュボードからPull Requestへのリンクをたどると、リポジトリヘッダがロードされません。

TeamをPull Requestのレビュー担当者として追加すると、そのTeamのメンバー数が正しく表示されないことがあります。

SCIMグループを通じて外部で管理されているメンバーを削除しようとすると、Teamメンバーシップの削除のAPIエンドポイントがエラーを返します。

大量の休眠ユーザによってGitHub Connectの設定が失敗することがあります。

サイトアドミンのWeb UIの"Feature & beta enrollments（機能とベータ登録）"ページが誤って利用可能でした。

サイトのフッタの"Site admin mode（サイトアドミンモード）"リンクが、クリックされても状態が変化しませんでした。

spokesctl cache-policy rmコマンドは、error: failed to delete cache policyというメッセージで失敗することがなくなりました。

大規模なクラスタトポロジーへの対応を改善するため、Memcachedの接続制限が引き上げられました。

Dependency Graph APIは、以前は静的に定義されたポートで実行されていました。

クラスタ関連のElasticsearchのシャード設定のデフォルトのシャード数が更新されました。

"People"ページでOrganizationのロールによってEnterpriseメンバーをフィルタリングする場合のドロップダウンメニューアイテムのテキストが改善されました。

Teamロールの“Triage”及び“Maintain”は、リポジトリの移行中に保持されます。

Enterpriseのオーナーによって発行されたWebリクエストのパフォーマンスが改善されました。

高: GitHubのMarkdownパーサーで、情報漏洩とRCEにつながる整数オーバーフローの脆弱性が特定されました。この脆弱性は、GoogleのProject ZeroのFelix WilhelmによってGitHub Bug Bountyプログラムを通じて報告され、CVE-2022-24724が割り当てられました。

高可用性レプリカのクロックがプライマリと同期していない場合、アップグレードが失敗することがありました。

2020年9月1日以降に作成されたOAuthアプリケーションは、 Check an Authorization API エンドポイントを使用できませんでした。

ユーザが、"saml"というユーザもしくはOrganizationを登録することが可能でした。

パッケージは最新のセキュリティバージョンにアップデートされました。

Azure Blob Storageが使われている場合、Management ConsoleでGitHub Packagesのストレージ設定を検証して保存することができませんでした。

不正な文字セットの警告で、設定オプションのmssql.backup.cadenceによってghe-config-checkが失敗しました。

memcachedから2^{^16}以上のキーを取得する際のSystemStackError（スタックが深すぎる）を修正しました。

サイト全体の選択メニューの数が正しく表示されず、機能していませんでした。

依存関係グラフは脆弱性のデータなしで有効化できるようになり、お客様は使用されている依存関係とバージョンを見ることができるようになりました。GitHub Connectを有効化せずに依存関係グラフを有効化しても、脆弱性の情報は提供されません。

Secret scaningがZIP及び他のアーカイブファイルでシークレットのスキャンをスキップしてしまいます。

中: Secret Scanning APIの呼び出しは、リクエストのスコープ外のリポジトリに対するアラートを返すことがありました。

パッケージは最新のセキュリティバージョンにアップデートされました。

nginxが手動で再起動されるまで、MySQLのシークレットのローテーション後にPagesが利用できなくなります。

GitHub Actionsが有効化されていると、移行に失敗することがあります。

ISO 8601の日付でメンテナンススケジュールを設定すると、タイムゾーンがUTCに変換されないことから実際にスケジュールされる時間が一致しません。

cloud-config.serviceに関する誤ったエラーメッセージがコンソールに出力されます。

ghe-cluster-eachを使ってホットパッチをインストールすると、バージョン番号が正しく更新されません。

webhookテーブルのクリーンアップジョブが同時に実行され、リソース競合とジョブの実行時間の増大を招くことがあります。

プライマリから実行された場合、レプリカ上のghe-repl-teardownはレプリカをMSSQLの可用性グループから削除しません。

ユーザへのメールベースの通知を検証済みあるいは承認されたドメイン上のメールに制限する機能が正常に動作しませんでした。

CAS認証を使用し、"Reactivate suspended users"オプションが有効化されている場合、サスペンドされたユーザは自動的に際アクティベートされませんでした。

長時間実行されるセキュリティアラート関連のデータベースの移行が、アップグレードの完了を遅延させることがあります。

GitHub Connectのデータ接続レコードに、アクティブ及び休眠ユーザ数と、設定された休眠期間が含まれるようになりました。

パッケージは最新のセキュリティバージョンに更新されました。これらの更新で、Log4jはバージョン2.17.1に更新されました。ノート: 3.3.1、3.2.6、3.1.14、3.0.22でリリースされた以前の緩和対応は、GitHub Enterprise ServerのこれらのバージョンにおけるCVE-2021-44228、CVE-2021-45046、CVE-2021-45105、CVE-2021-44832の影響に対応するには十分なものです。

生成されるSupport Bundleでのより多くのシークレットのサニタイズ

TeamでSecurity Mangerのロールを持つユーザは、Watchしているリポジトリでのセキュリティアラートに関する通知を受けるようになりました。

セキュリティマネージャーのコンポーネントは、Teamの最大数に達すると、それほど強くない警告を表示します。

リポジトリ管理アクセスページは、リポジトリからセキュリティマネージャーのTeamを削除しようとすると403を返さなければなりません。

パッケージは最新のセキュリティバージョンにアップデートされました。

Actionsのセルフホストランナーは、古いGHESのインストールからのアップグレード後に、自己更新あるいは新しいジョブの実行に失敗します。

MinIOをGitHub Packagesのblobストレージとして設定しようとすると、ストレージ設定が検証できませんでした。

"Force Path Style（パススタイルの強制）"が選択されている場合、Management ConsoleでGitHub Actionsのストレージ設定が検証できず、保存できませんでした。

メンテナンスモードが設定された更新後、Actionsが停止状態のままになります。

ghe-config-applyを実行すると、/data/user/tmp/pagesにおける権限の問題のために失敗することがあります。

低解像度のブラウザで、スクロールしてもManagement ConsoleのSaveボタンに到達できませんでした。

collectdのバージョンアップグレード後、IOPSとストレージトラフィックのモニタリンググラフが更新されませんでした。

一部のwebhookに関連するジョブが、大量のログを発生させることがありました。

支払いのナビゲーションアイテムがサイトアドミンページに表示されていました。

いくつのかのドキュメンテーションリンクが404 Not Found errorになりました。

重大 CVE-2021-44228として特定されたLOg4jライブラリのリモートコード実行の脆弱性は、3.3.1以前のすべてのバージョンのGitHub Enterprise Serverに影響します。Log4jライブラリは、GitHub Enterprise Serverインスタンス上で動作するオープンソースのサービスで使われています。この脆弱性はGitHub Enterprise Serverバージョン3.0.22、3.1.14、3.2.6、3.3.1で修正されました。詳しい情報についてはGitHub Blogのこのポストを参照してください。

2021年12月17日更新 : このリリースでの修正は、このリリース後に公開されたCVE-2021-45046も緩和します。CVE-2021-44228とCVE-2021-45046をどちらも緩和するために、GitHub Enterprise Serverに追加のアップグレードは必要ありません。

Organization owners can now grant teams the access to manage security alerts and settings on their repositories. The "security manager" role can be applied to any team and grants the team's members the following access:

• Read access on all repositories in the organization.
• Write access on all security alerts in the organization.
• Access to the organization-level security tab.
• Write access on security settings at the organization level.
• Write access on security settings at the repository level.

For more information, see "Managing security managers in your organization."

GitHub Actions now supports ephemeral (single job) self-hosted runners and a new workflow_job webhook to make autoscaling runners easier.

Ephemeral runners are good for self-managed environments where each job is required to run on a clean image. After a job is run, ephemeral runners are automatically unregistered from GitHub Enterprise Serverインスタンス, allowing you to perform any post-job management.

You can combine ephemeral runners with the new workflow_job webhook to automatically scale self-hosted runners in response to GitHub Actions job requests.

For more information, see "Autoscaling with self-hosted runners" and "Webhook events and payloads."

A dark high contrast theme, with greater contrast between foreground and background elements, is now available on GitHub Enterprise Server 3.3. This release also includes improvements to the color system across all GitHub themes.

For more information about changing your theme, see "Managing your theme settings."

GitHub Enterprise Server 3.3 includes improvements to the maintenance of repositories, especially for repositories that contain many unreachable objects. Note that the first maintenance cycle after upgrading to GitHub Enterprise Server 3.3 may take longer than usual to complete.

GitHub Enterprise Server 3.3 includes the public beta of a repository cache for geographically-distributed teams and CI infrastructure. The repository cache keeps a read-only copy of your repositories available in additional geographies, which prevents clients from downloading duplicate Git content from your primary instance. For more information, see "About repository caching."

GitHub Enterprise Server 3.3 includes improvements to the user impersonation process. An impersonation session now requires a justification for the impersonation, actions are recorded in the audit log as being performed as an impersonated user, and the user who is impersonated will receive an email notification that they have been impersonated by an enterprise administrator. For more information, see "Impersonating a user."

A new stream processing service has been added to facilitate the growing set of events that are published to the audit log, including events associated with Git and GitHub Actions activity.

The GitHub Connect data connection record now includes a list of enabled GitHub Connect features. [Updated 2021-12-09]

An expiration date can now be set for new and existing personal access tokens. Setting an expiration date on personal access tokens is highly recommended to prevent older tokens from leaking and compromising security. Token owners will receive an email when it's time to renew a token that's about to expire. Tokens that have expired can be regenerated, giving users a duplicate token with the same properties as the original.

When using a personal access token with the GitHub API, a new GitHub-Authentication-Token-Expiration header is included in the response, which indicates the token's expiration date. For more information, see "Creating a personal access token."

Notification emails from discussions now include (Discussion #xx) in the subject, so you can recognize and filter emails that reference discussions.

Public repositories now have a Public label next to their names like private and internal repositories. This change makes it easier to identify public repositories and avoid accidentally committing private code.

If you specify the exact name of a branch when using the branch selector menu, the result now appears at the top of the list of matching branches. Previously, exact branch name matches could appear at the bottom of the list.

When viewing a branch that has a corresponding open pull request, GitHub Enterprise Server now links directly to the pull request. Previously, there would be a prompt to contribute using branch comparison or to open a new pull request.

You can now click a button to copy the full raw contents of a file to the clipboard. Previously, you would need to open the raw file, select all, and then copy. To copy the contents of a file, navigate to the file and click in the toolbar. Note that this feature is currently only available in some browsers.

When creating a new release, you can now select or create the tag using a dropdown selector, rather than specifying the tag in a text field. For more information, see "Managing releases in a repository."

A warning is now displayed when viewing a file that contains bidirectional Unicode text. Bidirectional Unicode text can be interpreted or compiled differently than it appears in a user interface. For example, hidden bidirectional Unicode characters can be used to swap segments of text in a file. For more information about replacing these characters, see the GitHub changelog.

You can now use CITATION.cff files to let others know how you would like them to cite your work. CITATION.cff files are plain text files with human- and machine-readable citation information. GitHub Enterprise Server parses this information into common citation formats such as APA and BibTeX. For more information, see "About CITATION files."

You can use new keyboard shortcuts for quotes and lists in Markdown files, issues, pull requests, and comments.

• To add quotes, use cmd shift . on Mac, or ctrl shift . on Windows and Linux.
• To add an ordered list, use cmd shift 7 on Mac, or ctrl shift 7 on Windows and Linux.
• To add an unordered list, use cmd shift 8 on Mac, or ctrl shift 8 on Windows and Linux.

See "Keyboard shortcuts" for a full list of available shortcuts.

You can now use footnote syntax in any Markdown field. Footnotes are displayed as superscript links that you can click to jump to the referenced information, which is displayed in a new section at the bottom of the document. For more information about the syntax, see "Basic writing and formatting syntax."

When viewing Markdown files, you can now click in the toolbar to view the source of a Markdown file. Previously, you needed to use the blame view to link to specific line numbers in the source of a Markdown file.

You can now add images and videos to Markdown files in gists by pasting them into the Markdown body or selecting them from the dialog at the bottom of the Markdown file. For information about supported file types, see "Attaching files."

GitHub Enterprise Server now automatically generates a table of contents for Wikis, based on headings.

When dragging and dropping files into a Markdown editor, such as images and videos, GitHub Enterprise Server now uses the mouse pointer location instead of the cursor location when placing the file.

You can now search issues by label using a logical OR operator. To filter issues using logical OR, use the comma syntax. For example, label:"good first issue","bug" will list all issues with a label of good first issue or bug. For more information, see "Filtering and searching issues and pull requests."

Improvements have been made to help teams manage code review assignments. You can now:

• Limit assignment to only direct members of the team.
• Continue with automatic assignment even if one or more members of the team are already requested.
• Keep a team assigned to review even if one or more members is newly assigned.

The timeline and reviewers sidebar on the pull request page now indicate if a review request was automatically assigned to one or more team members.

For more information, see the GitHub changelog.

You can now filter pull request searches to only include pull requests you are directly requested to review.

Filtered files in pull requests are now completely hidden from view, and are no longer shown as collapsed in the "Files Changed" tab. The "File Filter" menu has also been simplified. For more information, see "Filtering files in a pull request."

You can now create "composite actions" which combine multiple workflow steps into one action, and includes the ability to reference other actions. This makes it easier to reduce duplication in workflows. Previously, an action could only use scripts in its YAML definition. For more information, see "Creating a composite action."

Managing self-hosted runners at the enterprise level no longer requires using personal access tokens with the admin:enterprise scope. You can instead use the new manage_runners:enterprise scope to restrict the permissions on your tokens. Tokens with this scope can authenticate to many REST API endpoints to manage your enterprise's self-hosted runners.

The audit log now includes additional events for GitHub Actions. Audit log entries are now recorded for the following events:

• A self-hosted runner is registered or removed.
• A self-hosted runner is added to a runner group, or removed from a runner group.
• A runner group is created or removed.
• A workflow run is created or completed.
• A workflow job is prepared. Importantly, this log includes the list of secrets that were provided to the runner.

For more information, see "Security hardening for GitHub Actions."

GitHub Enterprise Server 3.3 contains performance improvements for job concurrency with GitHub Actions. For more information about the new performance targets for a range of CPU and memory configurations, see "Getting started with GitHub Actions for GitHub Enterprise Server."

To mitigate insider man in the middle attacks when using actions resolved through GitHub Connect to GitHub.com from GitHub Enterprise Server, the actions namespace (owner/name) is retired on use. Retiring the namespace prevents that namespace from being created on your GitHub Enterprise Server instance, and ensures all workflows referencing the action will download it from GitHub.com.

When a repository is deleted, any associated package files are now immediately deleted from your GitHub Packages external storage.

Dependency review is out of beta and is now generally available for GitHub Advanced Security customers. Dependency review provides an easy-to-understand view of dependency changes and their security impact in the "Files changed" tab of pull requests. It informs you of which dependencies were added, removed, or updated, along with vulnerability information. For more information, see "Reviewing dependency changes in a pull request."

Dependabot is now available as a private beta, offering both version updates and security updates for several popular ecosystems. Dependabot on GitHub Enterprise Server requires GitHub Actions and a pool of self-hosted runners configured for Dependabot use. Dependabot on GitHub Enterprise Server also requires GitHub Connect to be enabled. To learn more and sign up for the beta, contact the GitHub Sales team.

The depth of CodeQL's analysis has been improved by adding support for more libraries and frameworks and increasing the coverage of our existing library and framework models. JavaScript analysis now supports most common templating languages, and Java now covers more than three times the endpoints of previous CodeQL versions. As a result, CodeQL can now detect even more potential sources of untrusted user data, steps through which that data flows, and potentially dangerous sinks where the data could end up. This results in an overall improvement of the quality of code scanning alerts.

CodeQL now supports scanning standard language features in Java 16, such as records and pattern matching. CodeQL is able to analyze code written in Java version 7 through 16. For more information about supported languages and frameworks, see the CodeQL documentation.

Improvements have been made to the code scanning on:push trigger when code is pushed to a pull request. If an on:push scan returns results that are associated with a pull request, code scanning will now show these alerts on the pull request.

Some other CI/CD systems can be exclusively configured to trigger a pipeline when code is pushed to a branch, or even exclusively for every commit. Whenever such an analysis pipeline is triggered and results are uploaded to the SARIF API, code scanning will also try to match the analysis results to an open pull request. If an open pull request is found, the results will be published as described above. For more information, see the GitHub changelog.

You can now use the new pull request filter on the code scanning alerts page to find all the code scanning alerts associated with a pull request. A new "View all branch alerts" link on the pull request "Checks" tab allows you to directly view code scanning alerts with the specific pull request filter already applied. For more information, see the GitHub changelog.

User defined patterns for secret scanning is out of beta and is now generally available for GitHub Advanced Security customers. Also new in this release is the ability to edit custom patterns defined at the repository, organization, and enterprise levels. After editing and saving a pattern, secret scanning searches for matches both in a repository's entire Git history and in any new commits. Editing a pattern will close alerts previously associated with the pattern if they no longer match the updated version. Other improvements, such as dry-runs, are planned in future releases. For more information, see "Defining custom patterns for secret scanning."

Most REST API previews have graduated and are now an official part of the API. Preview headers are no longer required for most REST API endpoints, but will still function as expected if you specify a graduated preview in the Accept header of a request. For previews that still require specifying the preview in the Accept header of a request, see "API previews."

You can now use the REST API to configure custom autolinks to external resources. The REST API now provides beta GET/POST/DELETE endpoints which you can use to view, add, or delete custom autolinks associated with a repository. For more information, see "Autolinks."

You can now use the REST API to sync a forked repository with its upstream repository. For more information, see "Branches" in the REST API documentation.

Enterprise administrators on GitHub Enterprise Server can now use the REST API to enable or disable Git LFS for a repository. For more information, see "Repositories."

You can now use the REST API to query the audit log for an enterprise. While audit log forwarding provides the ability to retain and analyze data with your own toolkit and determine patterns over time, the new endpoint can help you perform limited analysis on recent events. For more information, see "GitHub Enterprise administration" in the REST API documentation.

GitHub App user-to-server API requests can now read public resources using the REST API. This includes, for example, the ability to list a public repository's issues and pull requests, and to access a public repository's comments and content.

When creating or updating a repository, you can now configure whether forking is allowed using the REST and GraphQL APIs. Previously, APIs for creating and updating repositories didn't include the fields allow_forking (REST) or forkingAllowed (GraphQL). For more information, see "Repositories" in the REST API documentation and "Repositories" in the GraphQL API documentation.

A new GraphQL mutation createCommitOnBranch makes it easier to add, update, and delete files in a branch of a repository. Compared to the REST API, you do not need to manually create blobs and trees before creating the commit. This allows you to add, update, or delete multiple files in a single API call.

Commits authored using the new API are automatically GPG signed and are marked as verified in the GitHub Enterprise Server UI. GitHub Apps can use the mutation to author commits directly or on behalf of users.

When a new tag is created, the push webhook payload now always includes a head_commit object that contains the data of the commit that the new tag points to. As a result, the head_commit object will always contain the commit data of the payload's after commit.

Page loads and jobs are now significantly faster for repositories with many Git refs.

After upgrading to GitHub Enterprise Server 3.3, GitHub Actions may fail to start automatically. To resolve this issue, connect to the appliance via SSH and run the ghe-actions-start command.

On a freshly set up GitHub Enterprise Server instance without any users, an attacker could create the first admin user.

Custom firewall rules are removed during the upgrade process.

Git LFS tracked files uploaded through the web interface are incorrectly added directly to the repository.

Issues cannot be closed if they contain a permalink to a blob in the same repository, where the blob's file path is longer than 255 characters.

When "Users can search GitHub.com" is enabled with GitHub Connect, issues in private and internal repositories are not included in GitHub.com search results.

The GitHub Packages npm registry no longer returns a time value in metadata responses. This was done to allow for substantial performance improvements. We continue to have all the data necessary to return a time value as part of the metadata response and will resume returning this value in the future once we have solved the existing performance issues.

Resource limits that are specific to processing pre-receive hooks may cause some pre-receive hooks to fail.

GitHub Actions storage settings cannot be validated and saved in the Management Console when "Force Path Style" is selected, and must instead be configured with the ghe-actions-precheck command line utility.

GitHub Enterprise Server 3.3 instances installed on Azure and provisioned with 32+ CPU cores would fail to launch, due to a bug present in the current Linux kernel. [Updated: 2022-04-08]

GitHub Enterprise Server 2.22 was discontinued on September 23, 2021. This means that no patch releases will be made, even for critical security issues, after this date. For better performance, improved security, and new features, upgrade to the newest version of GitHub Enterprise Server as soon as possible.

GitHub Enterprise Server 3.0 will be discontinued on February 16, 2022. This means that no patch releases will be made, even for critical security issues, after this date. For better performance, improved security, and new features, upgrade to the newest version of GitHub Enterprise Server as soon as possible.

Starting with GitHub Enterprise Server 3.3, GitHub Enterprise Server on XenServer is deprecated and is no longer supported. Please contact GitHub Support with questions or concerns.

To prevent accidental logging or exposure of access_tokens, we discourage the use of OAuth Application API endpoints and the use of API authentication using query parameters. View the following posts to see the proposed replacements:

• Replacement OAuth Application API endpoints
• Replacement authentication using headers instead of query param

These endpoints and authentication route are planned to be removed from GitHub Enterprise Server in GitHub Enterprise Server 3.4.

The CodeQL runner is being deprecated. GitHub Enterprise Server 3.3 will be the final release series that supports the CodeQL runner. Starting with GitHub Enterprise Server 3.4, the CodeQL runner will be removed and no longer supported. The CodeQL CLI version 2.6.2 or greater is a feature-complete replacement for the CodeQL runner. For more information, see the GitHub changelog.

Starting in GitHub Enterprise Server 3.1, support for GitHub's proprietary bit-cache extensions began to be phased out. These extensions are now deprecated in GitHub Enterprise Server 3.3.

Any repositories that were already present and active on GitHub Enterprise Serverインスタンス running version 3.1 or 3.2 will have been automatically updated.

Repositories which were not present and active before upgrading to GitHub Enterprise Server 3.3 may not perform optimally until a repository maintenance task is run and has successfully completed.

To start a repository maintenance task manually, browse to https://<hostname>/stafftools/repositories/<owner>/<repository>/network for each affected repository and click the Schedule button.

GitHub Connect will no longer work after June 3rd for instances running GitHub Enterprise Server 3.1 or older, due to the format of GitHub authentication tokens changing. To continue using GitHub Connect, upgrade to GitHub Enterprise Server 3.2 or later. For more information, see the GitHub Blog. [Updated: 2022-06-14]