我正在尝试在Dockerhub上测试自动化容器构建,我发现我需要将我的github帐户链接到我的hub.docker.account。但是,当我单击“连接”按钮时,我被带到一个github授权页面,上面显示:
Docker Hub Builder by docker wants to access your larryms account
Repositories
Public and private
This application will be able to read and write all public and private repository data.
This includes the following:
- Code
- Issues
- Pull requests
- Wikis
- Settings
- Webhooks and services
- Deploy keys
- Collaboration invites
这似乎太宽容和太宽泛;如果我正确理解它,则需要授予Docker Hub Builder读和write访问all我的github存储库的权限,包括公共和私有。
是否有使用最低特权原则进行此操作的方法,例如,仅向specific github仓库授予Docker Hub Builder必要的权限(希望是只读的?)>
我正在尝试在Dockerhub上测试自动化容器构建,我发现我需要将我的github帐户链接到我的hub.docker.account。但是,当我单击“连接”按钮时,我被带到...
GitHub上的OAuth范围确实很广(请参阅https://developer.github.com/apps/building-oauth-apps/understanding-scopes-for-oauth-apps/#available-scopes,在这里您不能不授予写访问权限就不能授予读访问权限)。但是,范围与用户对相关存储库的实际许可权一起应用。也就是说,如果用户仅具有对存储库X的读取权限,并且用户向dockerhub授予了具有读写作用域的oauth令牌,则dockerhub将只能代表该用户从存储库X进行读取。如果用户稍后获得对仓库X的管理员访问权限,则已授予的访问令牌将不允许管理员访问,因为令牌的范围仅允许读写访问。