О GitHubфункциях безопасности
GitHubФункции безопасности помогает сохранить ваш код и секреты в безопасности как в репозиториях, так и в разных организациях.
- Некоторые функции доступны для всех GitHub тарифов.
- Дополнительные функции доступны организациям и предприятиям , которые GitHub TeamGitHub Enterprise Cloud приобретают GitHub Advanced Security продукт:
- Кроме того, ряд GitHub Secret Protection функций GitHub Code Security можно бесплатно запускать в публичных репозиториях.
Доступно для всех GitHub тарифов
Следующие функции безопасности дос��упны для вас вне зависимости от GitHub выбранного тарифного плана. Вам не нужно покупать GitHub Secret Protection or GitHub Code Security , чтобы использовать эти функции.
Большинство этих функций доступны для публичных, внутренних и частных репозиториев. Некоторые функции доступны только для общедоступных репозиториев.
Политика безопасности
Предоставьте пользователям простую возможность конфиденциально сообщать об уязвимостях системы безопасности, обнаруженных в репозитории. Дополнительные сведения см. в разделе Добавление политики безопасности в репозиторий.
Граф зависимостей
Схема зависимостей позволяет изучать экосистемы и пакеты, от которых зависит ваш репозиторий, а также репозитории и пакеты, которые зависят от вашего репозитория.
Схему зависимостей можно найти на вкладке Аналитика репозитория. Дополнительные сведения см. в разделе Граф зависимостей.
Спецификация программного обеспечения
Вы можете экспортировать граф зависимостей репозитория в виде совместимого с SPDX программного обеспечения (SBOM). Дополнительные сведения см. в разделе Экспорт программного счета за материалы для репозитория.
GitHub Advisory Database
В нем GitHub Advisory Database содержится тщательно отобранный список уязвимостей безопасности, которые можно просматривать, искать и фильтровать. Дополнительные сведения см. в разделе Просмотр рекомендаций по безопасности в базе данных рекомендаций по GitHub.
Dependabot alerts и обновления безопасности
Просматривайте оповещения о зависимостях, в которых имеются уязвимости системы безопасности, и решайте, нужно ли автоматически создавать запросы на включение внесенных изменений для обновления этих зависимостей. Дополнительные сведения см. в разделе [AUTOTITLE и Dependabot alerts](/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates).
Вы также можете использовать по умолчанию Правила автообработки зависимостей курированное GitHub by для автоматической фильтрации значительного количества ложных срабатываний.
Общие сведения о различных функциях, предлагаемых Dependabot и инструкции по началу работы см. в разделе Краткое руководство по зависимостям.
Dependabot malware alerts
На GitHub.com и GitHub Enterprise Server 3.22+ вы можете просматривать оповещения о вредоносных зависимости в вашем репозитории. См . раздел AUTOTITLE.
Dependabot version updates
Используйте Dependabot автоматическое подъём pull request, чтобы ваши зависимости оставались up-to-date. Это помогает снизить риски для более старых версий зависимостей. Использование новых версий облегчает внедрение патчей при обнаружении уязвимостей безопасности, а также Dependabot security updates облегчает успешное подбор pull request-запросов для улучшения уязвимых зависимостей. Вы также можете настроить Dependabot version updates их интеграцию в ваши репозитории. Дополнительные сведения см. в разделе Обновления версий Dependabot.
Рекомендации по безопасности
Приватно обсудите и исправьте уязвимости безопасности в коде общедоступный репозиторий. Вы также можете опубликовать рекомендацию по безопасности, чтобы предупредить сообщество об уязвимости, и призвать участников сообщества обновить свой код. Дополнительные сведения см. в разделе Рекомендации по безопасности репозитория.
Наборы правил репозитория
Применение согласованных стандартов кода, безопасности и соответствия требованиям между ветвями и тегами. Дополнительные сведения см. в разделе Сведения о наборе правил.
Аттестации артефактов
Создайте нефиксируемые гарантии прованства и целостности для создаваемого программного обеспечения. Дополнительные сведения см. в разделе Использование аттестаций артефактов для установления происхождения сборок.
Оповещения о сканировании секретов для партнеров
При GitHub обнаружении утечки секрета в публичном репозитории или публичном NPM-пакете, GitHub сообщает соответствующему поставщику услуг о том, что секрет может быть скомпрометирован. Дополнительные сведения о поддерживаемых секретах и поставщиках услуг см. в разделе Поддерживаемые шаблоны сканирования секретов.
Защита от push-уведомлений для пользователей
Защита от пуша для пользователей автоматически защищает вас от случайного переноса секретов в публичные репозитории, независимо от того, был ли репозиторий secret scanning активирован. Защита от отправки для пользователей включена по умолчанию, но вы можете отключить функцию в любое время с помощью параметров личная учетная запись. Дополнительные сведения см. в разделе Управление защитой от push для пользователей.
Доступно с GitHub Secret Protection
Для аккаунтов на GitHub Team иGitHub Enterprise Cloud , вы можете получить доступ к дополнительным функциям безопасности при покупке .GitHub Secret Protection
GitHub Secret Protection Включает функции, которые помогают обнаруживать и предотвращать утечки учетных данных и распространение секретов, например secret scanning , для обнаружения жёстко закодированных учетных данных и push-защиты для их блокировки до того, как они попадут в ваш репозиторий.
Эти функции доступны для всех типов репозитория. Некоторые из этих функций доступны для публичных репозиториев бесплатно, то есть для включения функции в публичном репозитории не нужно покупать GitHub Secret Protection .
Уведомления о секретном сканировании для пользователей
Автоматически обнаруживать жёстко заданные учетные данные, которые были зарегистрированы в репозитории. Вы можете просматривать оповещения о любых секретах, найденных GitHub в вашем коде, во Security and quality вкладке вашего репозитория, чтобы быстро реагировать на утечки учетных данных. Дополнительные сведения см. в разделе Сканирование секретов.
Доступно для общедоступных репозиториев по умолчанию.
Секретное сканирование Copilot
Секретное сканирование CopilotGeneric secret detection — это расширение secret scanning на базе искусственного интеллекта, которое выявляет неструктурированные секреты (пароли) в исходном коде и затем генерирует оповещение. Дополнительные сведения см. в разделе Карта приложения: функции безопасности GitHub и качества ИИ.
Защита от push-уведомлений
Push-защита проактивно сканирует ваш код и код всех участников репозитория на наличие жёстко заданных секретов во время процесса push-запроса и блокирует push при обнаружении утечек учетных данных. Если участник обходит блокировку, генерируется оповещение. Дополнительные сведения см. в разделе Защита от push-уведомлений.
Доступно для общедоступных репозиториев по умолчанию.
Делегированный обход для защиты от push-уведомлений
Делегированный обход для защиты от пуша позволяет контролировать, какие игроки, роли и команды:
- Можно обойти защиту от толчка
- Освобождены от защиты от push
- Можно просматривать запросы на обход от других участников
Дополнительные сведения см. в разделе Делегированный обход для защиты от push-уведомлений.
Пользовательские шаблоны
Вы можете определить пользовательские паттерны, чтобы выявлять секреты, которые не обнаруживаются шаблонами по умолчанию, поддерживаемыми secret scanning, например, паттерны, внутренние для вашей организации. Дополнительные сведения см. в разделе Определение пользовательских шаблонов для проверки секретов.
Обзор безопасности
Обзор безопасности позволяет просматривать общий ландшафт безопасности организации, просматривать тенденции и другие аналитические сведения, а также управлять конфигурациями безопасности, что упрощает мониторинг состояния безопасности организации и определение репозиториев и организаций, которые подвергаются наибольшему риску. Дополнительные сведения см. в разделе Общие сведения о безопасности.
Доступно с GitHub Code Security
Для аккаунтов на GitHub Team иGitHub Enterprise Cloud , вы можете получить доступ к дополнительным функциям безопасности при покупке .GitHub Code Security
GitHub Code Security включает функции, которые помогают находить и исправлять уязвимости, такие code scanningкак премиум-функции Dependabot и проверка зависимостей.
Эти функции доступны для всех типов репозитория. Некоторые из этих функций доступны для публичных репозиториев бесплатно, то есть для включения функции в публичном репозитории не нужно покупать GitHub Code Security .
Code scanning
Автоматически обнаруживайте уязвимости безопасности и ошибки в новом или измененном коде. Возможные проблемы выделяются и для них приводятся подробные сведения, что позволяет исправлять код до его слияния с ветвью по умолчанию. Дополнительные сведения см. в разделе Code scanning.
Доступно для общедоступных репозиториев по умолчанию.
CodeQL CLI
Запускайте CodeQL процессы локально на программных проектах или генерируйте code scanning результаты для загрузки в GitHub. Дополнительные сведения см. в разделе CodeQL CLI.
Доступно для общедоступных репозиториев по умолчанию.
Автофикс второго пилота
Получайте автоматически сгенерированные исправления для code scanning оповещений. Дополнительные сведения см. в разделе Карта приложения: функции безопасности GitHub и качества ИИ.
Доступно для общедоступных репозиториев по умолчанию.
Пользовательские правила автоматической сортировки для Dependabot
Помогите управлять данными Dependabot alerts в масштабе. При использовании пользовательские правила автоматической сортировки у вас есть контроль над оповещениями, которые вы хотите игнорировать, отключать или активировать обновление системы безопасности Dependabot. Дополнительные сведения см. в разделе [AUTOTITLE и Dependabot alerts](/code-security/dependabot/dependabot-auto-triage-rules/customizing-auto-triage-rules-to-prioritize-dependabot-alerts).
Просмотр зависимостей
Отображение полного влияния изменений на зависимости и просмотр сведений об уязвимых версиях до слияния запроса на включение внесенных изменений. Дополнительные сведения см. в разделе Анализ зависимостей.
Доступно для общедоступных репозиториев по умолчанию.
Кампании по безопасности
Исправление оповещений системы безопасности в большом масштабе путем создания кампаний безопасности и совместной работы с разработчиками для сокращения невыполненной работы по безопасности. Дополнительные сведения см. в разделе О кампаниях безопасности.
Обзор безопасности
Обзор безопасности позволяет просматривать общий ландшафт безопасности организации, просматривать тенденции и другие аналитические сведения, а также управлять конфигурациями безопасности, что упрощает мониторинг состояния безопасности организации и определение репозиториев и организаций, которые подвергаются наибольшему риску. Дополнительные сведения см. в разделе Общие сведения о безопасности.
Использование Чат GitHub Copilot данных для понимания оповещений безопасности
С GitHub Copilot Enterprise лицензией вы также можете попросить Чат GitHub Copilot помощи для лучшего понимания оповещений безопасности в репозиториях вашей организации по GitHub Advanced Security функциям (code scanning, secret scanning, и Dependabot alerts). Дополнительные сведения см. в разделе Вопросы GitHub Copilot на GitHub.