• 전역 푸시 규칙 활성화
• 프로젝트별 전역 푸시 규칙 재정의
• 사용자 확인
• 커밋 메시지 유효성 검사
• DCO 인증되지 않은 커밋 거부
• 브랜치 이름 유효성 검사
• 의도하지 않은 결과 방지
• 파일 유효성 검사
  • 리포지터리에 비밀 정보 푸시 방지
  • 파일 이름으로 금지
• 관련 주제
• 문제 해결
  • 서명되지 않은 커밋 푸시 규칙을 거부하여 웹 IDE 비활성화
  • GitLab UI에서 생성된 서명되지 않은 커밋
  • 모든 프로젝트를 대상으로 대량 업데이트 푸시 규칙

푸시 규칙

• 푸시 규칙에서의 정규 표현식 최대 길이가 GitLab 16.3에서 255자에서 511자로 변경되었습니다.

푸시 규칙은 사용자 친화적 인터페이스에서 활성화할 수 있는 사전 수령(Git hooks)입니다. 푸시 규칙을 사용하면 리포지터리로 푸시할 수 있는 내용에 대해 더 많은 제어를 할 수 있습니다. GitLab에서 보호된 브랜치를 제공하지만, 다음과 같은 더 구체적인 규칙이 필요할 수 있습니다.

• 커밋 내용 평가.
• 커밋 메시지가 예상 형식과 일치하는지 확인.
• 브랜치 이름 규칙 강제 적용.
• 파일의 세부 정보 평가.
• Git 태그 제거 방지.

GitLab에서 푸시 규칙의 정규 표현식으로 RE2 문법을 사용합니다. 이를 regex101 regex tester에서 테스트할 수 있습니다. 각 정규 표현식은 511자로 제한됩니다.

사용자 정의 푸시 규칙을 위해 서버 후크를 사용합니다.

전역 푸시 규칙 활성화

모든 새 프로젝트에 대해 푸시 규칙을 생성할 수 있지만, 프로젝트 레벨이나 그룹 레벨에서 재정의할 수 있습니다. 전역 푸시 규칙을 구성한 후에 생성된 모든 프로젝트는 이 구성을 상속받습니다. 그러나 각 기존 프로젝트는 프로젝트별로 전역 푸시 규칙 재정의를 통해 매뉴얼으로 업데이트해야 합니다.

요구 사항:

• 관리자여야 합니다.

전역 푸시 규칙을 생성하려면:

1. 왼쪽 사이드바에서 맨 아래에서 관리 영역을 선택합니다.
2. 푸시 규칙을 선택합니다.
3. 푸시 규칙을 확장합니다.
4. 원하는 규칙을 설정합니다.
5. 푸시 규칙 저장을 선택합니다.

프로젝트별 전역 푸시 규칙 재정의

개별 프로젝트의 푸시 규칙이 전역 푸시 규칙을 재정의합니다. 특정 프로젝트에 대해 전역 푸시 규칙을 재정의하거나 기존 프로젝트의 규칙을 새로운 전역 푸시 규칙과 일치하도록 업데이트하려면:

1. 왼쪽 사이드바에서 검색 또는 이동을 선택하여 프로젝트를 찾습니다.
2. 설정 > 리포지터리를 선택합니다.
3. 푸시 규칙을 확장합니다.
4. 원하는 규칙을 설정합니다.
5. 푸시 규칙 저장을 선택합니다.

사용자 확인

커밋을 작성하는 사용자를 검증하는 데 이러한 규칙을 사용합니다.

• 확인되지 않은 사용자 거부: 사용자는 확인된 이메일 주소를 가져야 합니다.
• 커밋 작성자가 GitLab 사용자인지 확인: 커밋 작성자와 커미터는 GitLab에서 확인된 이메일 주소를 가져야 합니다.
• 커밋 작성자 이메일: 작성자와 커미터의 이메일 주소가 정규 표현식과 일치해야 합니다. 어떤 이메일 주소라도 허용하려면 비워둡니다.

커밋 메시지 유효성 검사

커밋 메시지에 대해 이러한 규칙을 사용합니다.

• 커밋 메시지에 표현식 필요: 메시지는 표현식과 일치해야 합니다. 어떤 커밋 메시지라도 허용하려면 비워둡니다. 멀티라인 모드를 사용하며, (?-m)을 사용하여 비활성화할 수 있습니다. 일부 유효성 검사 예시:

  • JIRA\-\d+는 모든 커밋이 Refactored css. Fixes JIRA-123와 같이 Jira 이슈를 참조하도록 요구합니다.
  • [[:^punct:]]\b$는 최종 문자가 구두점인 경우 커밋을 거부합니다. 단어 경계 문자(\b)는 Git이 커밋 메시지 끝에 새 줄 문자(\n)를 추가하기 때문에 잘못된 부정을 방지합니다.

  GitLab UI에서 생성된 커밋 메시지는 새 줄 문자로 \r\n을 설정합니다. 이를 올바르게 일치시키기 위해 정규 표현식에서는 \n 대신 (\r\n?|\n)을 사용합니다.

  다음과 같은 멀티라인 커밋 설명이 있다고 가정할 때:

  JIRA:
  Description
  

  다음의 정규 표현식으로 유효성을 검사할 수 있습니다: JIRA:(\r\n?|\n)\w+.

• 커밋 메시지에서 표현식 거부: 메시지는 표현식과 일치해서는 안 됩니다. 어떤 커밋 메시지라도 허용하려면 비워둡니다. 멀티라인 모드를 사용하며, (?-m)을 사용하여 비활성화할 수 있습니다.

DCO 인증되지 않은 커밋 거부

• GitLab 15.5에서 도입되었습니다.

Developer Certificate of Origin (DCO)로 서명된 커밋은 해당 커밋에 기여한 사용자가 코드를 작성하거나 제출할 권한이 있다는 것을 증명합니다. 프로젝트에 대한 모든 커밋이 DCO를 준수하도록 요구할 수 있습니다. 이 푸시 규칙에는 모든 커밋 메시지에 Signed-off-by: 트레일러를 필요로 하며, 해당 트레일러가 없는 커밋은 거부됩니다.

브랜치 이름 유효성 검사

브랜치 이름에 대한 유효성을 검사하려면 브랜치 이름에 대한 정규 표현식을 입력합니다. 어떤 브랜치 이름이라도 허용하려면 비워둡니다. 기본 브랜치는 항상 허용됩니다. 일부 보안 목적을 위해 브랜치 이름의 특정 형식이 기본적으로 제한됩니다. Git 커밋 해시와 유사한 40자의 16진수 문자로 이루어진 이름은 허용되지 않습니다.

일부 유효성 검사 예시:

• 브랜치는 JIRA-로 시작해야 합니다.

  ^JIRA-
  

• 브랜치는 -JIRA로 끝나야 합니다.

  -JIRA$
  

• 브랜치는 4자에서 15자 사이이어야 하며 소문자, 숫자, 대시만 허용합니다.

  ^[a-z0-9\\-]{4,15}$
  

의도하지 않은 결과 방지

의도하지 않은 결과를 방지하기 위해 이러한 규칙을 사용합니다.

• 서명되지 않은 커밋 거부: 커밋은 GPG를 통해 서명되어야 합니다. 이 규칙은 Web IDE에서 생성된 일부 합법적인 커밋을 차단할 수 있습니다만, GitLab UI에서 생성된 서명되지 않은 커밋은 허용합니다.
• Git 명령어를 사용하여 Git 태그 제거 허용하지 않음: 사용자는 Git 태그를 제거하기 위해 git push를 사용할 수 없습니다. 사용자는 여전히 UI에서 태그를 삭제할 수 있습니다.

파일 유효성 검사

이 커밋에 포함된 파일을 유효성 검사하는 데에 이러한 규칙을 사용하세요.

• 비밀 파일 푸시 방지: 파일은 비밀 정보를 포함해서는 안 됩니다.
• 금지된 파일 이름: 리포지터리에 존재하지 않는 파일은 규칙적 표현식과 일치해서는 안 됩니다. 모든 파일 이름을 허용하려면 비워 두세요. 일반적인 예시를 참조하세요.
• 최대 파일 크기: 추가하거나 업데이트된 파일은 이 파일 크기(MB로)를 초과해서는 안 됩니다. 모든 크기의 파일을 허용하려면 0으로 설정하세요. Git LFS로 추적되는 파일은 제외됩니다.

리포지터리에 비밀 정보 푸시 방지

• 13.9에서 GitLab Premium으로 이동되었습니다.

GitLab에서 자격 증명 파일 및 SSH 개인 키와 같은 비밀 정보를 버전 관리 시스템에 커밋해서는 안 됩니다. GitLab에서는 미리 정의된 파일 디렉터리을 사용하여 리포지터리에서 해당 파일을 차단할 수 있습니다. 디렉터리과 일치하는 파일이 포함된 Merge Request은 차단됩니다. 이 푸시 규칙은 이미 리포지터리에 커밋된 파일을 제한하지 않습니다. 기존 프로젝트의 구성을 업데이트하여 이 규칙을 사용하려면 프로젝트별 전역 푸시 규칙 재정의에 설명된 프로세스를 사용해야 합니다.

이 규칙으로 차단된 파일은 아래에 나열되어 있습니다. 완전한 기준 디렉터리은 files_denylist.yml를 참조하세요.

• AWS CLI 자격 증명 블롭:

  • .aws/credentials
  • aws/credentials
  • homefolder/aws/credentials

• 개인 RSA SSH 키:

  • /ssh/id_rsa
  • /.ssh/personal_rsa
  • /config/server_rsa
  • id_rsa
  • .id_rsa

• 개인 DSA SSH 키:

  • /ssh/id_dsa
  • /.ssh/personal_dsa
  • /config/server_dsa
  • id_dsa
  • .id_dsa

• 개인 ED25519 SSH 키:

  • /ssh/id_ed25519
  • /.ssh/personal_ed25519
  • /config/server_ed25519
  • id_ed25519
  • .id_ed25519

• 개인 ECDSA SSH 키:

  • /ssh/id_ecdsa
  • /.ssh/personal_ecdsa
  • /config/server_ecdsa
  • id_ecdsa
  • .id_ecdsa

• 개인 ECDSA_SK SSH 키 (GitLab 14.8부터):

  • /ssh/id_ecdsa_sk
  • /.ssh/personal_ecdsa_sk
  • /config/server_ecdsa_sk
  • id_ecdsa_sk
  • .id_ecdsa_sk

• 개인 ED25519_SK SSH 키 (GitLab 14.8부터):

  • /ssh/id_ed25519_sk
  • /.ssh/personal_ed25519_sk
  • /config/server_ed25519_sk
  • id_ed25519_sk
  • .id_ed25519_sk

• 다음 접미사로 끝나는 모든 파일:

  • *.pem
  • *.key
  • *.history
  • *_history

파일 이름으로 금지

• 13.9에서 GitLab Premium으로 이동되었습니다.

Git에서 파일 이름은 파일의 이름과 이름 앞의 모든 디렉터리를 포함합니다. 각각의 파일 이름을 git push할 때 금지된 파일 이름의 규칙적 표현식과 비교됩니다.

금지된 파일 이름의 규칙적 표현식에는 제외할 여러 독립적인 일치 사항을 포함할 수 있습니다. 파일 이름을 넓게 리포지터리의 어느 위치든 매핑하거나 특정 위치에서만 제한할 수 있습니다. 또한 파일 유형을 확장자로 제외할 수 있으며 파일 이름 일부를 제외할 수 있습니다.

이 예시에서는 정규 표현식 문자 경계 문자를 사용하여 문자열의 시작(^)과 끝($)을 일치시킵니다. 또한 디렉터리 경로나 파일 이름이 . 또는 /를 포함할 수 있는 경우를 포함합니다. 이러한 특수 정규식 문자는 매치 조건에서 일반적인 문자로 사용하려면 백슬래시 \\로 이스케이프해야 합니다.

• 리포지터리의 모든 위치에 .exe 파일을 푸시 방지 - 이 정규식은 끝에 .exe를 포함하는 모든 파일명과 일치합니다:

  \.exe$

• 리포지터리 루트에 특정 구성 파일을 푸시 방지

  ^config\.yml$

• 알려진 디렉터리에 특정 구성 파일을 푸시 방지

  ^directory-name\/config\.yml$

• 리포지터리의 모든 위치에 특정 파일을 푸시 방지 - 이 예시는 모든 install.exe 파일을 테스트합니다. 괄호로 묶인 식 (^|\/)은 디렉터리 분리자를 따르는 파일이나 리포지터리 루트의 파일 둘 중 하나와 일치합니다.

  (^|\/)install\.exe$

• 이전 식을 하나로 결합 - 앞선 식은 문자열 끝 $에 의존합니다. 해당 부분을 모든 일치 사항들의 끝에 추가하여 연결된 일치 사항 집합의 끝에 추가합니다.

  (\.exe|^config\.yml|^directory-name\/config\.yml|(^|\/)install\.exe)$

관련 주제

• Git 서버 후크 (이전에는 서버 후크로 불렸음), 복잡한 사용자 정의 푸시 규칙을 생성하기 위해
• GPG로 커밋 서명
• 보호된 브랜치

문제 해결

서명되지 않은 커밋 푸시 규칙을 거부하여 웹 IDE 비활성화

GitLab 13.10에서 프로젝트에 서명되지 않은 커밋 거부 푸시 규칙이 있으면 사용자는 GitLab Web IDE를 통해 커밋을 만들 수 없습니다.

이 푸시 규칙이 있는 프로젝트에서 Web IDE를 통해 커밋하려면 GitLab 관리자가 reject_unsigned_commits_by_gitlab 플래그로 기능을 해제해야 합니다.

Feature.disable(:reject_unsigned_commits_by_gitlab)

GitLab UI에서 생성된 서명되지 않은 커밋

서명되지 않은 커밋 거부 푸시 규칙은 GitLab에서 인증되어 생성된 커밋(UI 또는 API를 통해)을 무시합니다. 이 푸시 규칙이 활성화되면 서명되지 않은 커밋은 GitLab 자체에서 만들어진 경우에는 여전히 커밋 내역에 나타날 수 있습니다. 예상대로, GitLab 외부에서 만들어지고 리포지터리로 푸시된 커밋은 거부됩니다. 이 문제에 대한 자세한 정보는 이슈 #19185를 읽으세요.

모든 프로젝트를 대상으로 대량 업데이트 푸시 규칙

모든 프로젝트에 대해 푸시 규칙을 동일하게 업데이트하려면, rails 콘솔을 사용하거나 푸시 규칙 API 엔드포인트를 사용하여 각 프로젝트를 업데이트하는 스크립트를 작성해야 합니다.

예를 들어, 커밋 작성자가 GitLab 사용자인지 확인 및 사용자가 git push로 Git 태그를 제거하지 못하도록 함 확인란을 활성화하고, 특정 이메일 도메인에서만 커밋을 허용하는 필터를 만들기 위해 Rails 콘솔을 사용합니다.

Project.find_each do |p|
  pr = p.push_rule || PushRule.new(project: p)
  # 커밋 작성자가 GitLab 사용자인지 확인
  pr.member_check = true
  # 사용자가 `git push`로 Git 태그를 제거하지 못하도록 함
  pr.deny_delete_tag = true
  # 커밋 작성자의 이메일
  pr.author_email_regex = '@domain\.com$'
  pr.save!
end