关键信息总结 Issue标题: Group Maintainers can edit group runners 创建时间: 2019年5月18日 状态: 已关闭 (Closed) 严重性: 3 标签: - Category: Continuous Integration - Deliverable - HackerOne - devops - verify - group - pipeline execution - production 漏洞描述 Summary: 对于组维护者,设置页面不可见,因此无法创建组运行器。根据文档,组维护者的权限足以创建组运行器。然而,决定不让组维护者创建组运行器。但是组维护者仍然可以更新现有的组运行器。 Steps to reproduce: 1. 作为组维护者,无法看到 2. 导航到该组中的任何项目,可以看到组运行器,但不能看到完整的令牌,也不能对其进行编辑。可以查看运行器ID。 3. 复制运行器ID,直接导航至 可以查看组运行器的完整详细信息,甚至可以编辑并保存。 Current bug behavior: 组维护者可以编辑组运行器,这从UI角度来看似乎不正确,尤其是考虑到最近对不允许维护者查看组CI/CD的更改。 Expected behavior: 组维护者不应能够编辑组运行器,这与当前的权限设置和文档说明不一致。