保護ブランチ

保護ブランチは、コードの安定性と品質を確保するために、GitLabのブランチに特定の権限を適用します。保護ブランチは次のことを行います:

• コードの変更をマージおよびプッシュできるユーザーを制御します。
• 重要なブランチが誤って削除されないようにします。
• コードレビューと承認プロセスを適用します。
• コードオーナーの承認要件を管理します。
• 強制プッシュ権限を規制して、コミット履歴を維持します。
• UIと保護ブランチAPIの両方からアクセスを制御します。

ブランチが複数のルールに一致する場合、または複雑な権限の要件がある場合の保護ルールの動作については、Protection rulesを参照してください。

ブランチを保護する

グループ内の個々のプロジェクトまたはすべてのプロジェクトに対して保護ブランチを設定します。

プロジェクト内

前提要件:

• メンテナー以上のロールを持っている必要があります。
• グループに、保護ブランチに対するマージを許可またはプッシュとマージを許可権限を付与する際、プロジェクトはアクセス可能であり、グループと共有されている必要があります。詳細については、共有プロジェクトを参照してください。

ブランチを保護するには:

1. 左側のサイドバーで、検索または移動先を選択して、プロジェクトを見つけます。
2. 設定 > リポジトリを選択します。
3. ブランチルールを展開します。
4. ブランチルールの追加 > ブランチ名またはパターンを選択します。
5. ドロップダウンリストから、保護するブランチを検索して選択します。
6. ブランチルールの作成を選択します。ブランチルールの詳細ページに移動します。
7. ブランチの保護セクションから、次のいずれかのオプションを選択します:
   • マージを許可から、編集を選択します。
     1. このブランチにマージできるロールを選択します。
     2. 変更を保存を選択します。
   • プッシュとマージを許可から、編集を選択します。
     1. このブランチにマージできるロールを選択します。
     2. 必要に応じて、デプロイキーを追加するために検索します。
     3. 変更を保存を選択します。

グループ内

グループオーナーは、グループの保護ブランチを作成できます。これらの設定はグループ内のすべてのプロジェクトに継承され、プロジェクトの設定で上書きすることはできません。

前提要件:

• グループのオーナーロールを持っている必要があります。
• このグループはトップレベルグループである必要があります。サブグループはサポートされていません。

グループ内のすべてのプロジェクトに対してブランチを保護するには:

1. 左側のサイドバーで、検索または移動先を選択して、グループを見つけます。
2. 設定 > リポジトリを選択します。
3. 保護ブランチを展開します。
4. 保護ブランチを追加するを選択します。
5. ブランチテキストボックスに、ブランチ名またはワイルドカード（*）を入力します。ブランチ名とワイルドカードでは大文字と小文字が区別されます。
6. マージを許可リストから、このブランチにマージできるロールを選択します。
7. プッシュとマージを許可リストから、このブランチにプッシュできるロールを選択します。
8. 強制プッシュを許可およびコードオーナーの承認が必要の設定の優先順位を選択します。
9. 保護を選択します。

プッシュとマージの権限

マージを許可とプッシュとマージを許可の設定は、ブランチの保護のさまざまな側面を制御します:

ブランチの種類ごとの保護戦略

ブランチの種類が異なると、その目的とセキュリティ要件に基づいて異なる保護レベルが必要になります。

本番環境にデプロイされたブランチの場合:

• マージを許可をメンテナーのみに設定します。
• プッシュとマージを許可をなし(空にしない)に設定します。
• コードオーナーの承認が必要を有効にします。
• 複数の承認を要求することを検討してください。

この設定では、すべての変更にメンテナーの承認を伴うマージリクエストが必要です。

アクティブな開発ブランチの場合:

• マージを許可をデベロッパー + メンテナーに設定します。
• プッシュとマージを許可をなし(空にしない)に設定します。

この設定では、デベロッパーはコードレビューを必要とするすべての変更を要求しながら、承認されたマージリクエストをマージできます。

デベロッパーロールの権限の組み合わせ

次の例は、デベロッパーロールを持つユーザーが、さまざまな保護設定で何ができるかを示しています:

デフォルトのブランチ保護設定

管理者は、管理者エリアでデフォルトのブランチ保護レベルを設定できます。

ワイルドカードルールを使用する

ワイルドカードを使用すると、複数のルールを1つのブランチに適用できます。複数のルールがブランチに適用される場合、最も寛容なルールがブランチの動作を制御します。適切にマージ制御を行うには、マージを許可よりも広範なユーザーセットに対してプッシュとマージを許可を設定します。

前提要件:

• メンテナー以上のロールを持っている必要があります。

複数のブランチを同時に保護するには:

1. 左側のサイドバーで、検索または移動先を選択して、プロジェクトを見つけます。

2. 設定 > リポジトリを選択します。

3. ブランチルールを展開します。

4. ブランチルールの追加 > ブランチ名またはパターンを選択します。

5. ブランチドロップダウンリストで、ブランチ名とワイルドカード (*) を入力します。ブランチ名とワイルドカードでは大文字と小文字が区別されます。例:

   ワイルドカード保護ブランチ	一致するブランチ
   *-stable	production-stable、staging-stable
   production/*	production/app-server、production/load-balancer
   *gitlab*	gitlab、gitlab/staging、master/gitlab/production

6. ワイルドカードの作成を選択します。

7. ブランチルールの作成を選択します。ブランチルールの詳細ページに移動します。

8. ブランチの保護セクションから、次のいずれかのオプションを選択します:

   • マージを許可から、編集を選択します。
     1. このブランチにマージできるロールを選択します。
     2. 変更を保存を選択します。
   • プッシュとマージを許可から、編集を選択します。
     1. このブランチにマージできるロールを選択します。
     2. 必要に応じて、デプロイキーを追加するために検索します。
     3. 変更を保存を選択します。

保護オプションを設定する

さまざまな保護オプションを設定して、ブランチを保護することができます。

マージリクエストを要求する

保護ブランチへの直接チェックインを許可するのではなく、すべてのユーザーにマージリクエストの送信を強制できます:

1. 左側のサイドバーで、検索または移動先を選択して、プロジェクトを見つけます。
2. 設定 > リポジトリを選択します。
3. ブランチルールを展開します。
4. ブランチの横にある詳細を表示を選択します。
5. マージを許可セクションで、編集を選択します
6. デベロッパー + メンテナーを選択します。
7. 変更を保存を選択します。
8. プッシュとマージを許可セクションで、なしを選択します。
9. 変更を保存を選択します。

直接プッシュを許可する

書き込みアクセス権を持つ全員が保護ブランチに直接プッシュできるようにすることができます。

1. 左側のサイドバーで、検索または移動先を選択して、プロジェクトを見つけます。
2. 設定 > リポジトリを選択します。
3. ブランチルールを展開します。
4. ブランチの横にある詳細を表示を選択します。
5. プッシュとマージを許可セクションで、デベロッパー + メンテナーを選択します。
6. 変更を保存を選択します。

グループ権限を使用する

保護ブランチに対してグループまたはサブグループのメンバーをマージを許可またはプッシュとマージを許可として設定するには:

1. 左側のサイドバーで、検索または移動先を選択して、プロジェクトを見つけます。

2. 設定 > リポジトリを選択します。

3. ブランチルールを展開します。

4. ブランチの横にある詳細を表示を選択します。

5. マージを許可またはプッシュとマージを許可セクションで、編集を選択します。

6. グループの下で、グループを追加するために検索します。例:

   # Allow group members to merge into this branch
   Allowed to merge: @group-x
   
   # Allow group members to push and merge into this branch
   Allowed to push and merge: @group-x/subgroup-y

7. 変更を保存を選択します。

グループの継承要件

%%{init: { "fontFamily": "GitLab Sans" }}%%
graph TD
    accTitle: Diagram of group inheritance for protected branches
    accDescr: If a project is shared with a group, the group members inherit permissions for protected branches.
    A[Parent group X] -->|owns| B[Project A]
    A -->|contains| C[Subgroup Y]
    B -->|shared with| C
    C -->|members inherit permissions| B

この例では、次のようになります:

• 親グループX（group-x）はプロジェクトAを所有しています。
• 親グループXには、サブグループ、サブグループY（group-x/subgroup-y）も含まれています。
• プロジェクトAはサブグループYと共有されています。

保護ブランチ権限の対象となるグループは、次のようになります:

• プロジェクトA: グループXとサブグループYの両方（プロジェクトAがサブグループYと共有されているため）。

グループとプロジェクトを共有する

プロジェクトをグループまたはサブグループと共有して、そのメンバーを保護ブランチ権限の対象にできます。

%%{init: { "fontFamily": "GitLab Sans" }}%%
graph LR
    accTitle: Diagram of project sharing for protected branch permissions
    accDescr: Sharing a project with a group affects whether their members can have protected branch permissions.
    A[Parent group X] -->|owns| B[Project A]
    A -->|also contains| C[Subgroup Y]
    C -.->D{Share Project A<br/>with Subgroup Y?} -.->|yes| E[Members of Subgroup Y<br/>can have protected<br/>branch permissions]
    D{Share Project A<br/>with Subgroup Y?} -.->|no| F[Members of Subgroup Y<br />cannot have protected<br/>branch permissions]
    E -.->|Add Subgroup Y<br/> to protected branch settings| I[Subgroup Y members<br/>can merge/push] -.-> B
    F -.-> |Add Subgroup Y<br/> to protected branch settings| J[Settings will not<br/>take effect] -.-> B

プロジェクトAのサブグループYメンバーにアクセス権を付与するには、プロジェクトをサブグループと共有する必要があります。サブグループを保護ブランチ設定に直接追加しても効果はなく、サブグループメンバーには適用されません。

デプロイキーアクセスを有効にする

デプロイキーを使用して保護ブランチにプッシュできます。

前提要件:

• デプロイキーがプロジェクトに対して有効である必要があります。プロジェクトのデプロイキーは、作成時にデフォルトで有効になっています。ただし、パブリックデプロイキーにプロジェクトへのアクセス権が付与されている必要があります。
• デプロイキーには、プロジェクトリポジトリへの書き込みアクセス権が必要です。
• デプロイキーのオーナーは、プロジェクトへの読み取りアクセス権以上を持っている必要があります。
• デプロイキーのオーナーはプロジェクトのメンバーでもある必要があります。

デプロイキーが保護ブランチにプッシュできるようにするには:

1. 左側のサイドバーで、検索または移動先を選択して、プロジェクトを見つけます。
2. 設定 > リポジトリを選択します。
3. ブランチルールを展開します。
4. ブランチの横にある詳細を表示を選択します。
5. 編集セクションで、プッシュとマージを許可を選択します。
6. デプロイキーで、デプロイキーを追加するために検索します。
7. 変更を保存を選択します。

デプロイキーは、マージを許可ドロップダウンリストにありません。

強制プッシュを許可する

保護ブランチへの強制プッシュを許可できます。

新しいブランチを保護して、強制プッシュを有効にするには:

1. 左側のサイドバーで、検索または移動先を選択して、プロジェクトを見つけます。
2. 設定 > リポジトリを選択します。
3. ブランチルールを展開します。
4. ブランチルールの追加 > ブランチ名またはパターンを選択します。
5. ドロップダウンリストから、保護して強制プッシュを有効にするブランチを検索して選択します。
6. ブランチルールの作成を選択します。ブランチルールの詳細ページに移動します。
7. プッシュとマージを許可セクションとマージを許可セクションで、必要な設定を選択します。
8. 変更を保存を選択します。
9. プッシュアクセスを持つすべてのユーザーに強制プッシュを許可するには、強制プッシュを許可切替をオンにします。

すでに保護されているブランチで強制プッシュを有効にするには、次の手順に従います:

1. 左側のサイドバーで、検索または移動先を選択して、プロジェクトを見つけます。
2. 設定 > リポジトリを選択します。
3. ブランチルールを展開します。
4. ブランチの横にある詳細を表示を選択します。
5. 強制プッシュを許可の切替をオンにします。

コードオーナー承認を要求する

保護ブランチの場合、コードオーナーによる承認を少なくとも1つ要求できます。ブランチが複数のルールで保護されている場合、いずれかの該当するルールでRequired approval from code owners（コードオーナー）の承認が必要になっていると、コードオーナーの承認が必要になります。

新しいブランチを保護して、コードオーナーの承認を有効にするには:

1. 左側のサイドバーで、検索または移動先を選択して、プロジェクトを見つけます。
2. 設定 > リポジトリを選択します。
3. ブランチルールを展開します。
4. ブランチルールの追加 > ブランチ名またはパターンを選択します。
5. ドロップダウンリストから、保護して強制プッシュを有効にするブランチを検索して選択します。
6. ブランチルールの作成を選択します。ブランチルールの詳細ページに移動します。
7. プッシュとマージを許可セクションとマージを許可セクションで、必要な設定を選択します。
8. 変更を保存を選択します。
9. コードオーナーの承認が必要切替をオンにします。

すでに保護されているブランチでコードオーナーの承認を有効にするには:

1. 左側のサイドバーで、検索または移動先を選択して、プロジェクトを見つけます。
2. 設定 > リポジトリを選択します。
3. ブランチルールを展開します。
4. ブランチの横にある詳細を表示を選択します。
5. コードオーナーの承認の切替をオンにします。

有効にすると、これらのブランチに対するすべてのマージリクエストで、マージされる前に、一致するルールごとにコードオーナーによる承認が必要になります。さらに、ルールが一致した場合、保護ブランチへの直接プッシュは拒否されます。

CODEOWNERSファイルで指定されていないユーザーは、特に許可されていない限り、指定されたファイルまたはパスの変更をプッシュできません。デベロッパーが保護ブランチに直接プッシュすることを制限する必要はありません。代わりに、コードオーナーによるレビューが必要な特定のファイルへのプッシュは制限できます。

保護ブランチへのプッシュを許可されているユーザーとグループにフィーチャーブランチをマージするためのマージリクエストは不要です。したがって、マージリクエストの承認ルール（コードオーナーを含む）をスキップできます。

ブランチの保護を解除できるユーザーの制御

ブランチを保護するときに、後でその保護を解除できるユーザーも制御できます。デフォルトでは、少なくともメンテナーロールを持つユーザーは、保護ブランチの保護を解除できます。

規制またはコンプライアンス要件のある組織の場合は、これらの権限を特定のユーザー、グループ、またはアクセスレベルに制限できます。

これらの権限は、APIでのみ設定できます。この機能は、以下に使用します:

• 規制コンプライアンス: 許可された担当者のみがブランチ保護を変更できることを確認します。
• 大規模な組織: 複数のリポジトリにわたる保護の誤った削除を防ぎます。
• 自動ガバナンス: 開発チームがオーバーライドできない管理者専用の保護を作成するスクリプトを有効にします。

保護解除権限

次の表は、設定に基づいて、誰がブランチの保護を解除できるかを示しています:

保護ブランチでのCI/CD

保護ブランチへのマージまたはプッシュの権限により、ユーザーがCI/CDパイプラインを実行し、ジョブでアクションを実行できるかどうかが定義されます。

マージリクエストパイプラインは、ソースブランチ、またはソースブランチに基づくマージリクエスト参照で実行されます。ユーザーがソースブランチにマージまたはプッシュする権限を持っていない場合、パイプラインは作成されません。

マージリクエストが保護ブランチ間にある場合、ユーザーがソースブランチとターゲットブランチの両方を更新する権限を持っている場合、保護された変数とRunnerはパイプラインで使用できます。詳細については、保護された変数とRunnerへのアクセス制御を参照してください。

保護ブランチを作成する

前提要件:

• 少なくともデベロッパーロールが必要です。
• 保護ブランチを作成するには、保護ブランチにマージリクエストを送信することを全員に要求するようにブランチ保護を設定する必要があります。

保護付きの新しいブランチを作成するには、次の手順に従います:

1. 左側のサイドバーで、検索または移動先を選択して、プロジェクトを見つけます。
2. コード > ブランチを選択します。
3. 新しいブランチを選択します。
4. ブランチ名を入力し、新しいブランチのベースにする既存のブランチ、タグ、またはコミットを選択します。保護ブランチに対して全員にマージリクエストの送信を要求する場合、既存の保護ブランチと、すでに保護ブランチにあるコミットのみが受け入れられます。

ブランチAPIを使用して、保護されたブランチを作成することもできます。

ブランチ保護が全員が保護ブランチに直接プッシュできるように設定されている場合、コマンドラインまたはGitクライアントアプリケーションから保護されたブランチを作成することもできます。

保護ブランチを削除する

メンテナー以上のロールを持つユーザーは、GitLabのWebインターフェースを使用して、保護ブランチを手動で削除できます:

1. 左側のサイドバーで、検索または移動先を選択して、プロジェクトを見つけます。
2. コード > ブランチを選択します。
3. 削除するブランチの横にある追加のアクション ( ) を選択します。
4. 保護ブランチを削除を選択します。
5. 確認ダイアログでブランチ名を入力し、はい、保護ブランチを削除しますを選択します。ブランチ名では、大文字と小文字が区別されます。

保護ブランチは、GitLab UIまたはAPIでのみ削除できます。ローカルのGitコマンドまたはサードパーティのGitクライアントで保護ブランチを削除することはできません。

ポリシーの実施

セキュリティとコンプライアンスのために、マージリクエスト承認ポリシーを実装する場合があります。この場合、インスタンス、グループ、またはプロジェクトで別途定義されている設定に影響を与える可能性があります。ポリシーは、ユーザーがブランチの保護を解除したり、ブランチを削除したり、プッシュまたは強制プッシュを行ったりすることの可否に影響を与える場合があります。

関連トピック

• 保護ルールと権限
• 保護ブランチAPI
• ブランチ
• ブランチAPI
• コミットAPI
• コードオーナー

トラブルシューティング

ブランチ名では大文字と小文字が区別される

gitのブランチ名では大文字と小文字が区別されます。保護ブランチまたはターゲットブランチのワークフローを設定する場合、devはDEVまたはDevと同じではありません。