今回はGitLabのProtected branchという機能を試しました。

背景

GitLabに限らず、ブランチに対する操作権限をコントロールすることは、リポジトリを安全に運用することにつながります。GitLabでは Protected branch という機能でブランチの保護を実現しており、この機能を使うと、例えばあるリポジトリへの変更はすべてMerge requestを経由しないとできない、といったコントロールが可能になります。どういったコントロールが可能かというと、大まかにいえば 誰が どのブランチに対して どんな操作を 許可するかを設定します。

検証

今回はGitLab Self-managed版 (Freeプラン) で protected-branch-test というProjectを作成し検証しています。また検証のため test というユーザーに Developer Roleを付与、 feature というブランチを事前に作成します。

Protected branchを設定するにはProjectの settings から Repository を選択し、Protected branches という項目があるので選択します。

Add protected branch を選択します。

遷移先の画面でProtected branchの設定を行います。設定項目は以下の通りです。設定後は Protect を選択します。

Branch : 対象のブランチを指定します。ワイルドカードを使って複数ブランチの指定も可能です。
Allowed to merge : mergeを許可するRoleを指定します。
Allowed to push and merge : push/mergeを許可するRoleを指定します。
Allowed to force push : 全てのユーザーにForce pushを許可するか選択します。

GitLabのドキュメントでは、以下の3つのパターンについて紹介しています。

全員にMerge requestを要求する : Allowed to merge を Developers + Maintainers に、 Allowed to push and merge を No one に設定します。
全員に直接Pushを許可する : Allowed to push and merge を Developers + Maintainers に設定します。
全員にForce pushを許可する : Allowed to force push を有効にします。

ここでは以下のようなProtected branchを設定します。

設定後は以下のように表示されます。なお設定を削除するには該当のブランチの Unprotect を選択します。

ここでは試しに test ユーザーで feature ブランチから main ブランチにMerge requestを作成します。この時は main ブランチに対するマージ権限は Maintainers にしか付与されていないので、 Developer Roleである test ユーザーにはマージはできないはずです。

Merge request作成後の画面を見ると Merge ボタンが見当たらず、 test ユーザーに割り当てられた Developer Roleではマージが許可されていないことを確認できます。