Menu

Git

git_workflow

Git és GitHub Windows-on: az első commit-pull request útja

, , , , , , ,

| Olvasási idő: 6 perc |

A modern fejlesztésben, különösen a DevOps és GitOps-alapú rendszerekben a Git használata nem csak hasznos, hanem megkerülhetetlen. A cloud világában minden lényeges változtatás – alkalmazáskód, infrastruktúra-kód, CI/CD beállítások – verziókezelésből indul.


A GitHub biztosítja azt a megbízható és átlátható verziókezelési környezetet, ahol a kódot biztonságosan tárolhatjuk, módosíthatjuk, ellenőrizhetjük és közösen fejleszthetjük. Egy cloud szakember számára ez ugyanannyira alap, mint a konténerizáció vagy a CI/CD pipeline-ok ismerete.


Ez a cikk lépésről lépésre bemutatja Windows környezetben a teljes utat: a Git telepítésétől kezdve a GitHub kapcsolat beállításán át egészen az első pull request beküldéséig és merge-éig.

1. Git telepítése Windows-on

A fejlesztés első lépése a Git telepítése.

  1. Töltsd le a Git for Windows csomagot.
  2. Indítsd el a telepítőt.
  3. A legtöbb kérdésnél az alapbeállítás elegendő.
  4. A telepítés végén elérhető lesz a Git Bash.

2. Git beállítása (user.name, user.email)

Nyisd meg a Git Bash-t, majd futtasd:

git config --global user.name "Vezetéknév Keresztnév"
git config --global user.email "email@példa.hu"

Ezek alapján a Git minden commitot hozzád köt.

3. Új repository létrehozása GitHub-on

  1. Nyisd meg a GitHub felületét. Jelentkezz be, vagy hozz létre egy új felhasználót.
  2. Kattints a New gombra.
  3. Add meg a repository nevét.
  4. Hozd létre a repository-t (README-vel vagy anélkül).

Az alábbiakban mindegyik piros nyíllal jelölt elemről írok 1–1 rövid mondatot, azt bemutatva, hogy mit jelent és miért fontos a GitHub repository létrehozásakor.

  • Owner – Megadja, hogy kihez vagy melyik szervezethez tartozik a repository, ami meghatározza a hozzáférési és kezelési jogosultságokat.
  • Repository name – A projekt egyedi neve GitHub-on, amely alapján mások könnyen megtalálhatják és hivatkozhatnak rá.
  • Choose visibility (Public) – Azt határozza meg, hogy bárki láthatja-e a repository-t, ami fontos, ha nyílt forráskódú vagy publikusan megosztott projektet hozol létre.
  • Add README (On) – A README fájl alap bemutatkozó dokumentumot ad a projektedhez, ami segít a felhasználóknak megérteni, mire való a repository.
  • Add .gitignore – A .gitignore kiválasztása biztosítja, hogy például a Python projektekben keletkező ideiglenes és felesleges fájlok ne kerüljenek fel a repository-ba. Itt nem csak Píthon, hanem minden fontos és ismert .programnyelvhez választható .gitignore fájl.
  • Add license – A licenc kiválasztása megadja, hogyan használhatják mások a kódodat, ami jogi szempontból elengedhetetlen egy nyílt projekt esetén.

Miután rákattintasz a Create repository gombra, létrejön a repository.

Most már van egy GitHub tárolód, amelyhez akár a Windows géped is csatlakozni tud.

4. Repository klónozása

Miután létrehoztad a repository-t GitHub-on, a következő lépés, hogy a saját gépedre is letöltsd. Így tudsz majd fájlokat létrehozni, módosítani és commitolni. A klónozás során a Git létrehozza a projekt helyi másolatát, valamint beállítja a GitHub-on lévő távoli repository-t is, így minden későbbi push és pull egyértelműen ide fog kapcsolódni.

Nyisd meg a Git Bash-t, és futtasd a következő parancsot:

git clone https://github.com/<felhasznalonev>/<repo>.git

A parancs eredménye:

  • létrejön egy új könyvtár a repository nevével
  • a könyvtár tartalmazni fog egy .git mappát
  • a Git automatikusan beállítja az origin nevű távoli kapcsolatot a GitHub-ra

Lépj be a projekt könyvtárába:

cd <repo>

Mostantól biztosan egy Git repository-ban vagy, és a Git pontosan tudja, melyik GitHub tárolóhoz tartozik a projekt.

5. Bejelentkezés GitHub-ba Git-en keresztül

A Git for Windows tartalmazza a Git Credential Manager-t, amely a GitHub böngészős, biztonságos bejelentkezését használja.

  1. Amikor először futtatsz olyan parancsot, amely GitHub-ot érint (például git push), megnyílik egy bejelentkezési ablak.
  2. A Git Desktop alkalmazás segítségével bejelentkezel a GitHub fiókodba.
  3. A rendszer eltárolja a hitelesítést.
  4. További műveleteknél nem kell újra belépni.

Ez a modern, támogatott hitelesítési mód.

6. Új branch létrehozása fejlesztéshez

Hozz létre egy külön fejlesztési ágat, hogy elkülönítve tudj új funkciókon dolgozni.

git checkout -b feature/elso-fejlesztes

7. Első fájl létrehozása

Hozd létre az első python fájlodat a projektben. Ez lesz az első verziókezelt tartalom a repository-ban.

echo "print('Hello Világ')" > elso.py

8. Commit készítése

Add hozzá a fájlt a következő commithoz, majd rögzítsd a változtatást a Git történetében.

git add elso.py
git commit -m "Első commit: Első python kódom"

9. Push GitHub-ra

Töltsd fel a commitot és ezzel együtt az újonnan létrehozott ágat a GitHub-ra.

git push --set-upstream origin feature/elso-fejlesztes

10. Pull request létrehozása GitHub-on

  1. Nyisd meg a GitHub repo-t.
  2. A felület felajánlja a Compare & pull request opciót.
  3. Add meg a leírást és küldd be a PR-t a Create pull request gombra kattintva.
  4. Reviewer jóváhagyja (vagy te, ha saját repo) – ha szükséges.
  5. A Merge pull request gombra kattintásal a változás belekerül a main ágba.

Mi történik a merge után?

A branch bezárul, a módosítások bekerülnek a main ágba, és onnantól a projekt fő ágának részévé válnak.
Ez cloud környezetben különösen fontos, mert:

  • CI/CD pipeline automatikusan indulhat
  • Infrastruktúra-kód esetén automatikus deploy-t indíthat
  • A változás auditálható
  • A main ág mindig stabil, ellenőrzött állapotot képvisel

A branch általában törölhető, mert betöltötte a szerepét.

Teljes workflow áttekintése (folyamat)

A teljes folyamat így néz ki:

  1. Git telepítése
  2. Globális Git beállítások megadása
  3. Új GitHub repository létrehozása
  4. Repository klónozása (esetenként: GitHub bejelentkezés)
  5. GitHub bejelentkezés
  6. Új branch létrehozása egy új feladathoz
  7. Első fejlesztés
  8. Első commit
  9. Push a GitHub-ra a feature branch-re
  10. Pull request létrehozása
  11. Review és merge
  12. Branch törlése
  13. Következő feladat új branch-en

Ez a modern Git alapú fejlesztési folyamat.

Hogyan gyakorolj?

Gyakorlásra ajánlott lépések:

  1. Hozz létre 2–3 saját repository-t különböző témában.
  2. Minden feladatot új branch-en oldj meg.
  3. Írj heti 2–3 pull requestet, még akkor is, ha egyedül fejlesztesz.
  4. Gyakorold a merge utáni cleanup-ot (branch törlése).
  5. Hozz létre szándékosan konfliktust, majd oldd fel.
  6. Használj külön fájlt minden gyakorlathoz, hogy átlásd a verziók alakulását.

Egy hónap alatt stabil izommemóriává válik a folyamat.

Összefoglalás

A Git és GitHub használata ma már alapvető készség minden cloud és DevOps szakember számára.
A lépések logikusak, következetesek és jól szervezhetők: klónozás, commit, push, branch, pull request, merge.
Ha valaki ezt a folyamatot magabiztosan végig tudja vinni, gyakorlatilag készen áll arra, hogy nagyvállalati, felhőalapú vagy akár GitOps-alapú rendszerekben is hatékonyan dolgozzon.

Ajánlott következő lépések:

  • megtanulni a rebase működését
  • saját CI/CD pipeline létrehozása
  • infrastruktúra-kód verziókezelése GitHub-on
  • GitHub Actions alapjainak elsajátítása

Ezek a készségek együtt a modern cloud munkafolyamat alapját adják.

github_token_pat_security

GitHub token kezelés és változások: Personal Access Token

, , , , , , ,

| Olvasási idő: 4 perc |

Amikor fejlesztőként program csomagokat publikálunk vagy automatizálunk, a biztonság mindig kulcskérdés. A szoftverellátási lánc támadásai egyre gyakoribbak, ezért a GitHub most javította a hitelesítést és a token-kezelést.
Az egész folyamat középpontjában a Personal Access Token (PAT) áll — ez az a digitális kulcs, ami a fejlesztők mindennapjait biztonságosabbá és szabályozottabbá teszi.

Mi az a PAT, és miért fontos?

A Personal Access Token (PAT) egy digitális azonosító, amellyel hitelesítem magam a GitHub-on vagy az npm-en anélkül, hogy jelszót kellene megadnom.
Olyan, mint egy személyre szabott kulcs, amivel belépek egy zárt rendszerbe – de csak azokhoz az ajtókhoz, amelyekhez ténylegesen van jogosultságom.

A PAT azért fontos, mert:

  • Biztonságosabb, mint a jelszó, nem kerül közvetlenül a kódba vagy pipeline-ba.
  • Automatizált folyamatokhoz (CI/CD, build, deploy) elengedhetetlen, mivel emberi beavatkozás nélkül hitelesít.
  • Korlátozható és forgatható, így ha kiszivárog, a kár minimalizálható.

Más szóval: minden, amit a fejlesztői rendszerekben „tokenk-ént” használunk — legyen az npm, GitHub vagy API — valójában egy Personal Access Token, csak más néven vagy kontextusban jelenik meg.

A token típusok közötti különbségek

A GitHub háromféle token-mechanizmust használ — ezek közül az első volt a klasszikus PAT, a második a továbbfejlesztett granularis verzió, a harmadik pedig már a PAT nélküli jövő.

1. Klasszikus PAT (Classic Token) – a régi hozzáférés

A klasszikus PAT hatókörös, tehát megadható, milyen tág jogosultságokkal rendelkezik (pl. repo). Ugyanakkor a hatóköre nem elég finom (jellemzően minden repo, amihez a felhasználónak hozzáférése van), és a lejárat nem volt kötelező – emiatt nagyobb a kockázat, ha kiszivárog.

2. Granularis PAT (Fine-grained Access Token) – a finomítás

A granularis PAT bevezetésével a GitHub sokkal precízebb jogosultságkezelést adott a kezünkbe.
Beállíthatom, hogy:

  • pontosan mely repository-hoz fér hozzá,
  • milyen műveletekre jogosít (pl. olvasás, írás, admin),
  • és meddig érvényes legyen (alapértelmezés szerint 7 nap, maximum 90).

Ez csökkenti a támadási felületet, és jobban illeszkedik a vállalati biztonsági irányelvekhez is.

3. OIDC / Trusted Publishing – alternatíva pipeline-hoz

A Trusted Publishing nem azt jelenti, hogy megszűnnek a Personal Access Token-ek (PAT) – sok esetben továbbra is szükség van rájuk – hanem azt, hogy egy biztonságosabb alternatívát kínál az automatizált csomag-kezeléshez. Ebben a megközelítésben a CI/CD rendszer (például GitHub Actions vagy GitLab CI/CD) az OpenID Connect (OIDC) protokollt használja, és rövid életű hitelesítést kap az adott csomag-registry (pl. npm) felé. Így a folyamat során nem kell előre létrehozott vagy tárolt PAT-et használnom, mert a futás idejére automatikusan generálódik a jogosultság.

Ez a megközelítés jelentősen csökkenti a token-kezelés kockázatát – nincs olyan hosszú életű kulcs, amit elfelejtek forgatni vagy ami kiszivároghat –, de nem helyettesíti a PAT-eket más típusú műveletekhez vagy API-hívásokhoz.
A Trusted Publishing jelenleg támogatott a GitHub Actions és GitLab CI/CD környezetben, és egyre több CI-platform fogja követni ezt az irányt.

Mi változik most konkrétan?

A GitHub az npm ökoszisztémán keresztül vezeti be a PAT-kezelés első nagy változását.
A mostani frissítés három fő területet érint, és minden esetben jól látszik, hogyan változik a korábbi működés.

TerületKorábbi állapotÚj szabály
PAT élettartamA tokenek alapértelmezett lejárata 30 nap volt, a klasszikus PAT akár korlátlanul is élt.Az új granularis PAT alapértelmezett lejárata 7 nap, maximum 90 nap.
Klasszikus PAT-ekTovábbra is használhatók voltak, teljes hozzáféréssel.Teljes kivezetés: 2025 november közepétől minden klasszikus PAT érvénytelen lesz.
2FA hitelesítésTOTP-alapú (időzített kódos) kétlépcsős azonosítás.WebAuthn/passkey alapú 2FA váltja, ami ellenáll a phishing-támadásoknak.

Ezek a változások október közepétől indulnak, és november közepéig minden klasszikus token megszűnik.

Példák, ahol PAT-et használunk

  1. CI/CD pipeline-ban: amikor a GitHub Actions új verziót publikál npm-re, PAT segítségével hitelesít.
  2. Helyi fejlesztéskor: a git push vagy npm publish művelet PAT alapján engedélyezett.
  3. Integrációs eszközöknél: például a Dependabot vagy a Renovate PAT-tel fér hozzá a repo-hoz, hogy automatikus frissítéseket küldjön.

Hogyan készülj fel?

  1. Új granularis PAT-eket hozol létre, és minden pipeline-ban lecseréled a régieket.
  2. Áttérsz az OIDC-alapú Trusted Publishing használatára, ahol lehetséges.
  3. Rendszeresen rotálod a még meglévő PAT-eket.
  4. Bevezeted a WebAuthn alapú 2FA-t, hogy megerősítsed a fiókom védelmét.

Összegzés

A Personal Access Token-ek (PAT) a modern fejlesztői hitelesítés alapját jelentik.

Különösen fontos felhő megoldásokkal való integrálásnál (pl. Azure DevOps Pipelines vagy AWS CodePipeline), mert így biztosíthatjuk, hogy csak a szükséges műveletekhez kapunk hozzáférést, és a felhőerőforrásokat is biztonságosan kezelhetjük.

A GitHub most azért változtat, hogy ezek a tokenek rövidebb életűek, korlátozottabb hatókörűek és biztonságosabbak legyenek.
Ez az átmenet az automatizált, tokenmentes jövő felé vezet — ahol az azonosítás már teljesen automatizált és emberi beavatkozás nélküli.

Én személy szerint támogatom ezt az irányt. Ez a változás nemcsak engem véd, hanem mindenkit, aki a GitHub-ra és az npm-re épít.

Verified by MonsterInsights