Краткое руководство по защите репозитория

Введение

В этом руководстве показано, как настроить функции безопасности для репозитория.

У каждого репозитория свои потребности в безопасности, поэтому вам может не потребоваться включить все функции для репозитория. Дополнительные сведения см. в разделе Функции безопасности GitHub.

Некоторые функции доступны для все репозитории. Дополнительные функции доступны организациям и предприятиям, которые используют GitHub Secret Protection, GitHub Code Security, or GitHub Advanced Security. Дополнительные сведения см. в разделе О GitHub Advanced Security.

Управление доступом к репозиторию

Первым шагом для защиты репозитория является определение того, кто может видеть и изменять код. Дополнительные сведения см. в разделе Управление настройками и функциями вашего репозитория.

На главной странице вашего репозитория нажмите «Настройки», затем прокрутите вниз до «Danger Zone».

• Чтобы настроить пользователей, которые могут просматривать репозиторий, выберите Изменить видимость. Дополнительные сведения см. в разделе Настройка видимости репозитория.
• Чтобы настроить пользователей, у которых есть доступ к репозиторию, и изменить разрешения, выберите Управление доступом. Дополнительные сведения см. в разделе Управление командами и пользователями с доступом к репозиторию.

Управление графом зависимостей

Владельцы предприятия могут настроить граф зависимостей и Dependabot alerts для предприятия. Дополнительные сведения см. в разделе [AUTOTITLE и Включение графа зависимостей для предприятия](/admin/configuration/configuring-github-connect/enabling-dependabot-for-your-enterprise).

Дополнительные сведения см. в разделе Изучение зависимостей репозитория.

Менеджмент Dependabot alerts

          Dependabot alerts генерируются, когда GitHub определяется зависимость в графе зависимостей с уязвимостью. 
          

Кроме того, можно использовать Правила автообработки зависимостей для управления оповещениями в масштабе, чтобы можно было автоматически закрыть или отклонить оповещения, а также указать, для каких оповещений требуется Dependabot для открытия запросов на вытягивание. Сведения о различных типах правил автоматической сортировки и о том, разрешены ли репозитории, см. в разделе Сведения о правилах автообработки Dependabot.

Общие сведения о различных функциях, предлагаемых Dependabot и инструкции по началу работы см. в разделе Краткое руководство по зависимостям.

Владельцы предприятия должны настроить граф зависимостей и Dependabot alerts для предприятия.

После настройки Dependabot alerts администраторы репозитория и владелец организации могут включить Dependabot alerts для частных и внутренних репозиториев на странице параметров "Advanced Security". Общедоступные репозитории включены по умолчанию. Дополнительные сведения см. в разделе AUTOTITLE, [AUTOTITLE[ и Настройка оповещений Dependabot](/admin/configuration/configuring-github-connect/enabling-dependabot-for-your-enterprise).](/admin/code-security/managing-supply-chain-security-for-your-enterprise/enabling-the-dependency-graph-for-your-enterprise)

Для получения дополнительной информации смотрите Сведения об оповещениях Dependabot.

Настройка проверки зависимостей

Проверка зависимостей позволяет визуализировать изменения зависимостей в запросах на вытягивание, прежде чем они будут объединены в репозитории. Дополнительные сведения см. в разделе Сведения о проверке зависимостей.

Проверка зависимостей — это функция GitHub Code Security .

Чтобы включить проверку зависимостей для репозитория, убедитесь, что граф зависимостей включен.

1. На главной странице вашего репозитория нажмите «Настройки».
2. Клик Advanced Security.
3. Проверьте, настроен ли граф зависимостей для вашего предприятия.

Менеджмент Dependabot security updates

Для любого репозитория, использующего Dependabot alerts, вы можете включить Dependabot security updates возможность запускать pull requests с помощью обновлений безопасности при обнаружении уязвимостей.

1. На главной странице вашего репозитория нажмите «Настройки».
2. Клик Advanced Security.
3. Далее Dependabot security updatesнажмите Включить.

Дополнительные сведения см. в разделе [AUTOTITLE и Сведения об обновлениях для системы безопасности Dependabot](/code-security/dependabot/dependabot-security-updates/configuring-dependabot-security-updates).

Менеджмент Dependabot version updates

Вы можете автоматически Dependabot запускать pull request, чтобы ваши зависимости оставались up-to-date. Дополнительные сведения см. в разделе Сведения об обновлениях версий Dependabot.

Чтобы включить Dependabot version updates, необходимо создать dependabot.yml конфигурационный файл. Дополнительные сведения см. в разделе Настройка обновлений версий Dependabot.

Настройка Code Security

          GitHub Code Security
          code scanningвключает , CodeQL CLI и Автофикс второго пилота, а также другие функции, которые находят и исправляют уязвимости в вашей кодовой базе.

Вы можете настроить code scanning автоматическое выявление уязвимостей и ошибок в коде, хранящемся в вашем репозитории, с помощью Рабочий процесс анализа CodeQL инструмента или стороннего инструмента. В зависимости от языков программирования в вашем репозитории, вы можете настроить code scanning по CodeQL умолчанию, GitHub которая автоматически определяет языки для сканирования, наборы запросов для запуска и события, которые запускают новое сканирование. Дополнительные сведения см. в разделе Настройка настройки по умолчанию для сканирования кода.

1. На главной странице вашего репозитория нажмите «Настройки».
2. В разделе «Безопасность» боковой панели нажмите Advanced Security.
3. Если «Code Security» или «GitHub Advanced Security» ещё не включены, нажмите «Включить».
4. Справа от «CodeQL analysis» выберите «Настройка», затем нажмите «По умолчанию».
5. В всплывающем окне просмотрите настройки настройки репозитория по умолчанию, затем нажмите Включить CodeQL.

В качестве альтернативы стандартной настройке можно использовать расширенную конфигурацию, которая генерирует файл рабочего процесса, который можно редактировать для настройки code scanning с CodeQLпомощью . Дополнительные сведения см. в разделе Настройка расширенной настройки для сканирования кода.

Настройка Secret Protection

          GitHub Secret Protection Включает secret scanning защиту от push, а также другие функции, которые помогают обнаруживать и предотвращать секретные утечки в вашем репозитории.

1. На главной странице вашего репозитория нажмите «Настройки».
2. Клик Advanced Security.
3. Если «Secret Protection» или «GitHub Advanced Security» ещё не включены, нажмите «Включить».
4. Если отображается опция «Secret scanning» — нажмите «Включить».
5. Выбирайте, хотите ли вы включать дополнительные функции, такие как сканирование на наличие шаблонов, не связанных с провайдером, и защита от push-файлов.

Настройка политики безопасности

Если вы являетесь ответственный за репозиторий, рекомендуется указать политику безопасности для репозитория, создав файл с именем SECURITY.md в репозитории. Этот файл указывает пользователям, как лучше связаться с вами и сотрудничать с вами, когда они хотят сообщить об уязвимостях безопасности в репозитории. Вы можете просмотреть политику безопасности репозитория во вкладке репозитория Security .

1. На главной странице вашего репозитория нажмите Security.
2. В левой боковой панели, в разделе «Отчётность», нажмите «Политика».
3. Нажмите кнопку Запуск установки.
4. Добавьте сведения о поддерживаемых версиях проекта и о том, как сообщить об уязвимости.

Дополнительные сведения см. в разделе Добавление политики безопасности в репозиторий.

Следующие шаги

Вы можете просматривать оповещения функций безопасности и управлять ими для обработки зависимостей и уязвимостей в коде. Дополнительные сведения см. в разделе AUTOTITLE, AUTOTITLE, [AUTOTITLE и Управление запросами на вытягивание для обновлений зависимостей](/code-security/code-scanning/managing-code-scanning-alerts/assessing-code-scanning-alerts-for-your-repository).

Вы также можете использовать GitHubинструменты для аудита ответов на оповещения безопасности. Дополнительные сведения см. в разделе Аудит оповещений системы безопасности.

Если вы используете GitHub Actions, можно использовать функции безопасности GitHub, чтобы повысить безопасность рабочих процессов. Дополнительные сведения см. в разделе Справочник по безопасному использованию.