Можно ли использовать бегунов GitHub Actions без песочницы?

Question

В настоящее время мы используем Azure DevOps для сборки и выпуска конвейеров, но размещаем репозитории на GitHub. Мы хотели бы использовать действия GitHub, чтобы заменить это и собрать все в одном месте.

Мы используем самодостаточный конвейер выпуска Azure DevOps, который позволяет нам загружать и настраивать наше приложение на нашем собственном сервере.

Однако статья здесь подразумевает, что самостоятельные бегуны GitHub Actions используют песочницу.

Могут ли они использоваться без песочницы для копирования нашей программы в путь на наш сервер а потом запустить программу?

Answer 1

В этой статье нет ничего, что говорило бы о том, что автономные бегуны помещаются в «песочницу» с точки зрения внутренней сети.

Самостоятельные бегуны предлагают больший контроль над оборудованием, операционной системой и программными инструментами. чем бегуны на GitHub. С помощью автономных участников вы можете создать пользовательскую конфигурацию оборудования с большей вычислительной мощностью или памятью для выполнения больших заданий, установить программное обеспечение, доступное в локальной сети , и выбрать операционную систему, не предлагаемую GitHub- принимали бегунов. Самостоятельные участники могут быть физическими, виртуальными, контейнерными, локальными или облачными .

Answer 2

GitHub Actions запускается под учетной записью nt authority\network service.

Согласно https://docs.microsoft.com/en-us/windows/win32/services/networkservice-account:

Имеет минимальные привилегии на локальном компьютере и действует как компьютер в сети.

Поэтому «песочница для бегуна машины», упомянутая в статье, скорее всего, ссылается на неспособность этой учетной записи выполнять какие-либо привилегированные задачи.