Функции безопасности GitHub

Обзор функций безопасности GitHub.

В этой статье

Сведения о функциях безопасности GitHub

Функции безопасности GitHubпомогают обеспечить безопасность кода и секретов в репозиториях и в разных организациях.

  • Некоторые функции доступны для всех планов GitHub .
  • Дополнительные функции доступны организациям и предприятиям на GitHub Team и GitHub Enterprise Cloud , которые покупают продукт GitHub Advanced Security: * GitHub Secret Protection * GitHub Code Security
  • Кроме того, ряд функций GitHub Secret Protection и GitHub Code Security можно запускать на общедоступных репозиториях бесплатно.

Доступно для всех планов GitHub

Следующие функции безопасности доступны для использования независимо от плана GitHub . Для использования этих функций вам не нужно приобрести GitHub Secret Protection or GitHub Code Security.

Большинство этих функций доступны для общедоступных, внутренних, и частных репозиториев. Некоторые функции доступны только для общедоступных репозиториев.

Политика безопасности

Предоставьте пользователям простую возможность конфиденциально сообщать об уязвимостях системы безопасности, обнаруженных в репозитории. Дополнительные сведения см. в разделе Добавление политики безопасности в репозиторий.

Граф зависимостей

Схема зависимостей позволяет изучать экосистемы и пакеты, от которых зависит ваш репозиторий, а также репозитории и пакеты, которые зависят от вашего репозитория.

Схему зависимостей можно найти на вкладке Аналитика репозитория. Дополнительные сведения см. в разделе Сведения о графе зависимостей.

Спецификация программного обеспечения

Вы можете экспортировать граф зависимостей репозитория в виде совместимого с SPDX программного обеспечения (SBOM). Дополнительные сведения см. в разделе Экспорт программного счета за материалы для репозитория.

GitHub Advisory Database

В GitHub Advisory Database содержится проверенный список уязвимостей системы безопасности, в котором можно искать и отфильтровывать нужные элементы. Дополнительные сведения см. в разделе Просмотр рекомендаций по безопасности в базе данных рекомендаций по GitHub.

Dependabot alerts обновления системы безопасности

Просматривайте оповещения о зависимостях, в которых имеются уязвимости системы безопасности, и решайте, нужно ли автоматически создавать запросы на включение внесенных изменений для обновления этих зависимостей. Дополнительные сведения см. в разделе [AUTOTITLE и Сведения об оповещениях Dependabot](/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates).

Можно также использовать по умолчанию Правила автообработки зависимостей с помощью GitHub для автоматического фильтрации значительного количества ложных срабатываний.

Общие сведения о различных функциях, предлагаемых Dependabot и инструкции по началу работы см. в разделе Краткое руководство по зависимостям.

Dependabot malware alerts

В данных GitHub.com и GitHub Enterprise Server 3.22+ вы можете просматривать оповещения о вредоносных зависимости в вашем репозитории. См . раздел AUTOTITLE.

Dependabot version updates

Используйте Dependabot для автоматического создания запросов на включение внесенных изменений, чтобы поддерживать зависимости в актуальном состоянии. Это помогает снизить риски для более старых версий зависимостей. Использование более новых версий упрощает применение исправлений при обнаружении уязвимостей безопасности, а также упрощает создание запросов на включение внесенных изменений для обновления уязвимых зависимостей для Dependabot security updates. Вы также можете настроить Dependabot version updates для упрощения интеграции с репозиториями. Дополнительные сведения см. в разделе Сведения об обновлениях версий Dependabot.

Рекомендации по безопасности

Приватно обсудите и исправьте уязвимости безопасности в коде общедоступный репозиторий. Вы также можете опубликовать рекомендацию по безопасности, чтобы предупредить сообщество об уязвимости, и призвать участников сообщества обновить свой код. Дополнительные сведения см. в разделе Сведения о помощниках по безопасности репозитория.

Наборы правил репозитория

Применение согласованных стандартов кода, безопасности и соответствия требованиям между ветвями и тегами. Дополнительные сведения см. в разделе Сведения о наборе правил.

Аттестации артефактов

Создайте нефиксируемые гарантии прованства и целостности для создаваемого программного обеспечения. Дополнительные сведения см. в разделе Использование аттестаций артефактов для установления происхождения сборок.

Оповещения о сканировании секретов для партнеров

Когда GitHub обнаруживает утечку секрета в общедоступный репозиторий или общедоступных пакетах npm, GitHub сообщает соответствующему поставщику услуг, что секрет может быть скомпрометирован. Дополнительные сведения о поддерживаемых секретах и поставщиках услуг см. в разделе Поддерживаемые шаблоны сканирования секретов.

Защита от push-уведомлений для пользователей

Принудительная защита для пользователей автоматически защищает вас от случайного фиксации секретов в общедоступных репозиториях независимо от того, включен ли сам репозиторий secret scanning. Защита от отправки для пользователей включена по умолчанию, но вы можете отключить функцию в любое время с помощью параметров личная учетная запись. Дополнительные сведения см. в разделе Управление защитой от push для пользователей.

Доступно с помощью GitHub Secret Protection

Для учетных записей на GitHub Team и GitHub Enterprise Cloud, вы можете получить доступ к дополнительным функциям безопасности при покупке GitHub Secret Protection.

GitHub Secret Protection включает функции, которые помогают обнаруживать и предотвращать утечки секретов, например secret scanning и защиты от отправки.

Эти функции доступны для всех типов репозитория. Некоторые из этих функций доступны для общедоступных репозиториев бесплатно, что означает, что вам не нужно приобретать GitHub Secret Protection для включения функции на общедоступный репозиторий.

Уведомления о секретном сканировании для пользователей

Автоматически обнаруживайте маркеры или учетные данные, которые были возвращены в репозиторий. Вы можете просмотреть оповещения для любых секретов, которые GitHub находятся в коде на вкладке "Безопасность " репозитория, чтобы узнать, какие маркеры или учетные данные следует рассматривать как скомпрометированные. Дополнительные сведения см. в разделе Сведения о оповещениях проверки секретов.

Доступно для общедоступных репозиториев по умолчанию.

Защита от push-уведомлений

Защита push-уведомлений упреждает сканирование кода и кода всех участников репозитория для секретов во время принудительного выполнения и блокирует отправку при обнаружении секретов. Если участник обходит блок, GitHub создает оповещение. Дополнительные сведения см. в разделе Сведения о защите push-уведомлений.

Доступно для общедоступных репозиториев по умолчанию.

Делегированный обход для защиты от push-уведомлений

Делегированный обход для защиты push-уведомлений позволяет управлять тем, какие лица, роли и команды могут обойти защиту push-уведомлений, а также реализует цикл проверки и утверждения для push-уведомлений, содержащих секреты. Дополнительные сведения см. в разделе Сведения о делегированной обходе для защиты от push-уведомлений.

Пользовательские шаблоны

Вы можете определить пользовательские шаблоны для идентификации секретов, которые не обнаружены шаблонами по умолчанию, поддерживаемыми secret scanning, например шаблонов, которые являются внутренними для вашей организации. Дополнительные сведения см. в разделе Определение пользовательских шаблонов для проверки секретов.

Обзор безопасности

Обзор безопасности позволяет просматривать общий ландшафт безопасности организации, просматривать тенденции и другие аналитические сведения, а также управлять конфигурациями безопасности, что упрощает мониторинг состояния безопасности организации и определение репозиториев и организаций, которые подвергаются наибольшему риску. Дополнительные сведения см. в разделе Общие сведения о безопасности.

Доступно с помощью GitHub Code Security

Для учетных записей на GitHub Team и GitHub Enterprise Cloud, вы можете получить доступ к дополнительным функциям безопасности при покупке GitHub Code Security.

GitHub Code Security включает функции, которые помогают находить и устранять уязвимости, такие как code scanning, функции данных Dependabot и проверка зависимостей.

Эти функции доступны для всех типов репозитория. Некоторые из этих функций доступны для общедоступных репозиториев бесплатно, что означает, что вам не нужно приобретать GitHub Code Security для включения функции на общедоступный репозиторий.

Code scanning

Автоматически обнаруживайте уязвимости безопасности и ошибки в новом или измененном коде. Возможные проблемы выделяются и для них приводятся подробные сведения, что позволяет исправлять код до его слияния с ветвью по умолчанию. Дополнительные сведения см. в разделе Сведения о проверке кода.

Доступно для общедоступных репозиториев по умолчанию.

CodeQL CLI

Запустите CodeQL локально в проектах программного обеспечения или создайте результаты code scanning для отправки в GitHub. Дополнительные сведения см. в разделе Сведения о интерфейсе командной строки CodeQL.

Доступно для общедоступных репозиториев по умолчанию.

Автофикс второго пилота

Получение автоматически созданных исправлений для оповещений code scanning . Дополнительные сведения см. в разделе Ответственное использование Автофикса Copilot для сканирования кода.

Доступно для общедоступных репозиториев по умолчанию.

Пользовательские правила автоматической сортировки для Dependabot

Помогите управлять данными Dependabot alerts в масштабе. При использовании пользовательские правила автоматической сортировки у вас есть контроль над оповещениями, которые вы хотите игнорировать, отключать или активировать обновление системы безопасности Dependabot. Дополнительные сведения см. в разделе [AUTOTITLE и Сведения об оповещениях Dependabot](/code-security/dependabot/dependabot-auto-triage-rules/customizing-auto-triage-rules-to-prioritize-dependabot-alerts).

Просмотр зависимостей

Отображение полного влияния изменений на зависимости и просмотр сведений об уязвимых версиях до слияния запроса на включение внесенных изменений. Дополнительные сведения см. в разделе Сведения о проверке зависимостей.

Доступно для общедоступных репозиториев по умолчанию.

Кампании по безопасности

Исправление оповещений системы безопасности в большом масштабе путем создания кампаний безопасности и совместной работы с разработчиками для сокращения невыполненной работы по безопасности. Дополнительные сведения см. в разделе О кампаниях безопасности.

Обзор безопасности

Обзор безопасности позволяет просматривать общий ландшафт безопасности организации, просматривать тенденции и другие аналитические сведения, а также управлять конфигурациями безопасности, что упрощает мониторинг состояния безопасности организации и определение репозиториев и организаций, которые подвергаются наибольшему риску. Дополнительные сведения см. в разделе Общие сведения о безопасности.

Использование GitHub Copilot Чат для понимания оповещений системы безопасности

С лицензией GitHub Copilot Энтерпрайз можно также попросить GitHub Copilot Чат для лучшего понимания оповещений системы безопасности в репозиториях в организации от функций GitHub Advanced Security (code scanning, secret scanningи Dependabot alerts). Дополнительные сведения см. в разделе Вопросы по GitHub Copilot в GitHub.

Дополнительные материалы

  •         [AUTOTITLE](/get-started/learning-about-github/githubs-plans)

  •         [AUTOTITLE](/get-started/learning-about-github/about-github-advanced-security)

  •         [AUTOTITLE](/get-started/learning-about-github/github-language-support)