Эта версия GitHub Enterprise Server будет прекращена 2026-04-09. Исправления выпускаться не будут даже при критических проблемах безопасности. Для повышения производительности, повышения безопасности и новых функций выполните обновление до последней версии GitHub Enterprise Server. Чтобы получить справку по обновлению, обратитесь в службу поддержки GitHub Enterprise.

Этап 2. Подготовка к включению в большом масштабе

На этом этапе вы будете готовить разработчиков и собирать данные о своих репозиториях, чтобы убедиться, что ваши команды готовы и у вас есть всё необходимое для пилотных программ и внедрения code scanningsecret scanning.

В этой статье

Совет

Эта статья является частью серии материалов о масштабном усыновлении GitHub Advanced Security . Предыдущие статьи этой серии см. в разделе Этап 1. Согласование стратегии и целей развертывания.

Подготовка к включению code scanning

          Code scanning — это функция, используемая для анализа кода в репозитории GitHub для поиска уязвимостей системы безопасности и ошибок кодирования. Все проблемы, выявленные анализом, отображаются в репозитории. Для получения дополнительной информации см. [AUTOTITLE](/code-security/code-scanning/introduction-to-code-scanning/about-code-scanning).

Внедрение code scanning в сотни репозиториев может быть сложным, особенно если делать это неэффективно. Следуя этим шагам, вы обеспечите эффективность и успешность развертывания.

Подготовка команд к code scanning

Во-первых, подготовьте свои команды к использованию code scanning. Чем больше команд использует code scanning, тем больше данных у вас будет для управления планами по устранению и мониторинга прогресса внедрения.

Для введения к code scanning, см.: * Сведения о проверке кода * О предупреждениях о сканировании кода * Оценка оповещений сканирования кода для репозитория

Ваша основная задача должна быть на подготовке как можно большего числа команд к использованию code scanning . Вы также можете поощрять команды к правильной коререкции, но мы рекомендуем уделять приоритетное внимание активизации и использованию code scanning чрезмерного устранения проблем на этом этапе.

Включение code scanning вашего устройства

Прежде чем продолжить пилотные программы и внедрять code scanning их в вашем бизнесе, сначала нужно включить code scanning устройство для вашего устройства. Дополнительные сведения см. в разделе Настройка сканирования кода для устройства.

Подготовка к включению secret scanning

Примечание.

Когда секрет обнаружен в репозитории, который был включён secret scanning, уведомляет GitHub всех пользователей с доступом к оповещениям о безопасности репозитория.

Если проект взаимодействует с внешней службой, для проверки подлинности можно использовать токен или закрытый ключ. Если зафиксировать секрет в репозитории, то любой пользователь с правами на чтение в репозитории сможет использовать этот секрет для доступа к внешней службе с вашими привилегиями. Secret scanning я просканирую всю вашу историю Git на всех ветках, присутствующих в ваших GitHub репозиториях, в поисках секретов, и предупредит вас или заблокирует пуш с этим секретом. Дополнительные сведения см. в разделе Сведения о проверке секретов.

Соображения при включении secret scanning

Включить secret scanning на уровне организации может быть просто, но если нажать «Включить всё » на уровне организации и выбрать опцию «Автоматически включить secret scanning для каждого нового репозитория », есть некоторые последующие эффекты, о которых стоит знать:

Использование лицензий

Включение secret scanning всех репозиториев максимизирует использование GitHub Advanced Security лицензий. Это хорошо, если у вас достаточно лицензий для текущих фиксаций всех этих репозиториев. Если число активных разработчиков, вероятно, увеличится в ближайшие месяцы, вы можете превысить лимит лицензии и не сможете использовать secret scanning их на новых репозиториях.

Начальный большой объем обнаруженных секретов

Если вы работаете secret scanning над крупной компанией, будьте готовы увидеть множество секретов. Иногда это вызывает у организации шок, и они поднимают тревогу. Если вы хотите включить secret scanning все репозитории одновременно, планируйте, как будете реагировать на несколько оповещений по всей организации.

          Secret scanning можно включить для отдельных репозиториев. Дополнительные сведения см. в разделе [AUTOTITLE](/code-security/secret-scanning/enabling-secret-scanning-features/enabling-secret-scanning-for-your-repository). 
          Secret scanning также можно включить во всех репозиториях вашей организации, как описано выше. Дополнительные сведения о включении для всех репозиториев см. в разделе [AUTOTITLE](/organizations/keeping-your-organization-secure/managing-security-settings-for-your-organization/managing-security-and-analysis-settings-for-your-organization).

Кастомные шаблоны для secret scanning

          Secret scanningобнаруживает большое количество шаблонов по умолчанию, но также может быть настроен на обнаружение пользовательских шаблонов, таких как секретные форматы, уникальные для вашей инфраструктуры или используемые интеграторами, которые GitHubв данный момент не обнаруживают .secret scanning Дополнительные сведения о поддерживаемых секретах для шаблонов партнеров см. в разделе [AUTOTITLE](/code-security/secret-scanning/introduction/supported-secret-scanning-patterns).

Во время аудита ваших репозиториев и общения с командами безопасности и разработчиков составьте список типов секретов, которые позже будете использовать для настройки кастомных шаблонов для secret scanning. Дополнительные сведения см. в разделе Определение пользовательских шаблонов для проверки секретов.

Защита от толкания для secret scanning

Защита push для организаций и репозиториев инструктирует secret scanning проверять push-запросы на наличие поддерживаемых секретов до того, как секреты будут закреплены в кодовой базе. Сведения о поддерживаемых секретах см. в разделе Поддерживаемые шаблоны сканирования секретов.

Если секрет обнаружен в push-отправке, этот push-код блокируется. Secret scanning перечисляет все обнаруженные секреты, чтобы автор мог их просмотреть и удалить или, при необходимости, позволить этим секретам распространяться. Secret scanning также может проверять отправки пользовательских шаблонов.

Разработчики могут обойти защиту push-уведомлений, сообщая, что секрет является ложным срабатыванием, который он используется в тестах или что он будет исправлен позже.

Когда участник обходит блок защиты от push, GitHub:

  • Создаёт оповещение во вкладке «Безопасность » репозитория, организации и предприятия
  • Добавляет событие обхода в журнал аудита
  • Отправляет уведомление по электронной почте владельцам личных аккаунтов, организаций и предприятий, менеджерам по безопасности и администраторам репозиториев, которые следят за репозиторием, с ссылкой на секрет и причиной его разрешения

Прежде чем включить защиту push-уведомлений, рассмотрите необходимость создания рекомендаций для разработчиков в допустимых условиях обхода защиты push-уведомлений. Вы можете настроить ссылку на этот ресурс в сообщении, отображаемом при попытке разработчика отправить заблокированный секрет.

Затем ознакомьтесь с различными параметрами управления оповещениями и мониторинга, которые являются результатом обхода защиты push-уведомлений участника.

Дополнительные сведения см. в разделе Сведения о защите push-уведомлений.

Дальнейшие действия

В следующей статье этой серии см . раздел AUTOTITLE.