我们知道你在等待我们重新启用与GitHub的集成,我们已经向你承诺,只有在进行安全审查后才会这样做。我们很高兴地报告,审查现在已经完成了。
其中一个重点领域是审查我们向GitHub申请并代表你存储的令牌的范围。目前,当你使用OAuth认证GitHub时,我们要求repo范围。repo范围给了我们必要的权限,使我们能够将Heroku管道连接到你选择的 repo,也使我们能够监控你的仓库的提交和拉动请求。它还使我们能够将提交状态和部署状态写入你在GitHub上的 repo。由于GitHub OAuth集成的设计,它为我们提供了比我们需要的更大的访问权限,以使集成工作正常进行。
为了改善集成的安全模式,我们正在与GitHub合作探索额外的增强功能,其中包括转移到GitHub Apps以获得更细化的权限,以及启用RFC8705以更好地保护OAuth令牌。由于这些增强功能需要Heroku和GitHub都做出改变,我们将随着合作的发展发布更多信息。
同时,我们正在快速工作,在运行了一个详细的检查表后,重新启用集成,并将当前的权限放在适当的位置。一旦集成被重新启用,你将能够与GitHub重新连接,并使用新生成的令牌恢复Heroku管道功能,包括审查应用程序。我们将在下周重新开启集成,当它再次可以使用时,我们将通过Heroku状态帖子通知你。
当我们下周重新启用集成时,你将可以重新连接到GitHub,或者选择等待我们改进与GitHub的集成,如前面所述。选择权在于你。无论哪种方式,我们都建议用git push heroku来保持你的服务正常运行,直到你选择在Heroku上重新连接GitHub。
谢谢你的耐心。我们和你一样对重新启用GitHub集成感到兴奋,因为我们知道你很想重新开始使用它。
