Skip to main content

Функции безопасности GitHub

Обзор GitHubфункций безопасности .

О GitHubфункциях безопасности

GitHubФункции безопасности помогает сохранить ваш код и секреты в безопасности как в репозиториях, так и в разных организациях.

  • Некоторые функции доступны для всех GitHub тарифов.
  • Дополнительные функции доступны организациям и предприятиям , которые GitHub TeamGitHub Enterprise Cloud приобретают GitHub Advanced Security продукт:
  • Кроме того, ряд GitHub Secret Protection функций GitHub Code Security можно бесплатно запускать в публичных репозиториях.

Доступно для всех GitHub тарифов

Следующие функции безопасности дос��упны для вас вне зависимости от GitHub выбранного тарифного плана. Вам не нужно покупать GitHub Secret Protection or GitHub Code Security , чтобы использовать эти функции.

Большинство этих функций доступны для публичных, внутренних и частных репозиториев. Некоторые функции доступны только для общедоступных репозиториев.

Политика безопасности

Предоставьте пользователям простую возможность конфиденциально сообщать об уязвимостях системы безопасности, обнаруженных в репозитории. Дополнительные сведения см. в разделе Добавление политики безопасности в репозиторий.

Граф зависимостей

Схема зависимостей позволяет изучать экосистемы и пакеты, от которых зависит ваш репозиторий, а также репозитории и пакеты, которые зависят от вашего репозитория.

Схему зависимостей можно найти на вкладке Аналитика репозитория. Дополнительные сведения см. в разделе Граф зависимостей.

Спецификация программного обеспечения

Вы можете экспортировать граф зависимостей репозитория в виде совместимого с SPDX программного обеспечения (SBOM). Дополнительные сведения см. в разделе Экспорт программного счета за материалы для репозитория.

GitHub Advisory Database

В нем GitHub Advisory Database содержится тщательно отобранный список уязвимостей безопасности, которые можно просматривать, искать и фильтровать. Дополнительные сведения см. в разделе Просмотр рекомендаций по безопасности в базе данных рекомендаций по GitHub.

Dependabot alerts и обновления безопасности

Просматривайте оповещения о зависимостях, в которых имеются уязвимости системы безопасности, и решайте, нужно ли автоматически создавать запросы на включение внесенных изменений для обновления этих зависимостей. Дополнительные сведения см. в разделе [AUTOTITLE и Dependabot alerts](/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates).

Вы также можете использовать по умолчанию Правила автообработки зависимостей курированное GitHub by для автоматической фильтрации значительного количества ложных срабатываний.

Общие сведения о различных функциях, предлагаемых Dependabot и инструкции по началу работы см. в разделе Краткое руководство по зависимостям.

Dependabot malware alerts

На GitHub.com и GitHub Enterprise Server 3.22+ вы можете просматривать оповещения о вредоносных зависимости в вашем репозитории. См . раздел AUTOTITLE.

Dependabot version updates

Используйте Dependabot автоматическое подъём pull request, чтобы ваши зависимости оставались up-to-date. Это помогает снизить риски для более старых версий зависимостей. Использование новых версий облегчает внедрение патчей при обнаружении уязвимостей безопасности, а также Dependabot security updates облегчает успешное подбор pull request-запросов для улучшения уязвимых зависимостей. Вы также можете настроить Dependabot version updates их интеграцию в ваши репозитории. Дополнительные сведения см. в разделе Обновления версий Dependabot.

Рекомендации по безопасности

Приватно обсудите и исправьте уязвимости безопасности в коде общедоступный репозиторий. Вы также можете опубликовать рекомендацию по безопасности, чтобы предупредить сообщество об уязвимости, и призвать участников сообщества обновить свой код. Дополнительные сведения см. в разделе Рекомендации по безопасности репозитория.

Наборы правил репозитория

Применение согласованных стандартов кода, безопасности и соответствия требованиям между ветвями и тегами. Дополнительные сведения см. в разделе Сведения о наборе правил.

Аттестации артефактов

Создайте нефиксируемые гарантии прованства и целостности для создаваемого программного обеспечения. Дополнительные сведения см. в разделе Использование аттестаций артефактов для установления происхождения сборок.

Оповещения о сканировании секретов для партнеров

При GitHub обнаружении утечки секрета в публичном репозитории или публичном NPM-пакете, GitHub сообщает соответствующему поставщику услуг о том, что секрет может быть скомпрометирован. Дополнительные сведения о поддерживаемых секретах и поставщиках услуг см. в разделе Поддерживаемые шаблоны сканирования секретов.

Защита от push-уведомлений для пользователей

Защита от пуша для пользователей автоматически защищает вас от случайного переноса секретов в публичные репозитории, независимо от того, был ли репозиторий secret scanning активирован. Защита от отправки для пользователей включена по умолчанию, но вы можете отключить функцию в любое время с помощью параметров личная учетная запись. Дополнительные сведения см. в разделе Управление защитой от push для пользователей.

Доступно с GitHub Secret Protection

Для аккаунтов на GitHub Team иGitHub Enterprise Cloud , вы можете получить доступ к дополнительным функциям безопасности при покупке .GitHub Secret Protection

GitHub Secret Protection Включает функции, которые помогают обнаруживать и предотвращать утечки учетных данных и распространение секретов, например secret scanning , для обнаружения жёстко закодированных учетных данных и push-защиты для их блокировки до того, как они попадут в ваш репозиторий.

Эти функции доступны для всех типов репозитория. Некоторые из этих функций доступны для публичных репозиториев бесплатно, то есть для включения функции в публичном репозитории не нужно покупать GitHub Secret Protection .

Уведомления о секретном сканировании для пользователей

Автоматически обнаруживать жёстко заданные учетные данные, которые были зарегистрированы в репозитории. Вы можете просматривать оповещения о любых секретах, найденных GitHub в вашем коде, во Security and quality вкладке вашего репозитория, чтобы быстро реагировать на утечки учетных данных. Дополнительные сведения см. в разделе Сканирование секретов.

Доступно для общедоступных репозиториев по умолчанию.

Секретное сканирование Copilot

Секретное сканирование CopilotGeneric secret detection — это расширение secret scanning на базе искусственного интеллекта, которое выявляет неструктурированные секреты (пароли) в исходном коде и затем генерирует оповещение. Дополнительные сведения см. в разделе Карта приложения: функции безопасности GitHub и качества ИИ.

Защита от push-уведомлений

Push-защита проактивно сканирует ваш код и код всех участников репозитория на наличие жёстко заданных секретов во время процесса push-запроса и блокирует push при обнаружении утечек учетных данных. Если участник обходит блокировку, генерируется оповещение. Дополнительные сведения см. в разделе Защита от push-уведомлений.

Доступно для общедоступных репозиториев по умолчанию.

Делегированный обход для защиты от push-уведомлений

Делегированный обход для защиты от пуша позволяет контролировать, какие игроки, роли и команды:

  • Можно обойти защиту от толчка
  • Освобождены от защиты от push
  • Можно просматривать запросы на обход от других участников

Дополнительные сведения см. в разделе Делегированный обход для защиты от push-уведомлений.

Пользовательские шаблоны

Вы можете определить пользовательские паттерны, чтобы выявлять секреты, которые не обнаруживаются шаблонами по умолчанию, поддерживаемыми secret scanning, например, паттерны, внутренние для вашей организации. Дополнительные сведения см. в разделе Определение пользовательских шаблонов для проверки секретов.

Обзор безопасности

Обзор безопасности позволяет просматривать общий ландшафт безопасности организации, просматривать тенденции и другие аналитические сведения, а также управлять конфигурациями безопасности, что упрощает мониторинг состояния безопасности организации и определение репозиториев и организаций, которые подвергаются наибольшему риску. Дополнительные сведения см. в разделе Общие сведения о безопасности.

Доступно с GitHub Code Security

Для аккаунтов на GitHub Team иGitHub Enterprise Cloud , вы можете получить доступ к дополнительным функциям безопасности при покупке .GitHub Code Security

GitHub Code Security включает функции, которые помогают находить и исправлять уязвимости, такие code scanningкак премиум-функции Dependabot и проверка зависимостей.

Эти функции доступны для всех типов репозитория. Некоторые из этих функций доступны для публичных репозиториев бесплатно, то есть для включения функции в публичном репозитории не нужно покупать GitHub Code Security .

Code scanning

Автоматически обнаруживайте уязвимости безопасности и ошибки в новом или измененном коде. Возможные проблемы выделяются и для них приводятся подробные сведения, что позволяет исправлять код до его слияния с ветвью по умолчанию. Дополнительные сведения см. в разделе Code scanning.

Доступно для общедоступных репозиториев по умолчанию.

CodeQL CLI

Запускайте CodeQL процессы локально на программных проектах или генерируйте code scanning результаты для загрузки в GitHub. Дополнительные сведения см. в разделе CodeQL CLI.

Доступно для общедоступных репозиториев по умолчанию.

Автофикс второго пилота

Получайте автоматически сгенерированные исправления для code scanning оповещений. Дополнительные сведения см. в разделе Карта приложения: функции безопасности GitHub и качества ИИ.

Доступно для общедоступных репозиториев по умолчанию.

Пользовательские правила автоматической сортировки для Dependabot

Помогите управлять данными Dependabot alerts в масштабе. При использовании пользовательские правила автоматической сортировки у вас есть контроль над оповещениями, которые вы хотите игнорировать, отключать или активировать обновление системы безопасности Dependabot. Дополнительные сведения см. в разделе [AUTOTITLE и Dependabot alerts](/code-security/dependabot/dependabot-auto-triage-rules/customizing-auto-triage-rules-to-prioritize-dependabot-alerts).

Просмотр зависимостей

Отображение полного влияния изменений на зависимости и просмотр сведений об уязвимых версиях до слияния запроса на включение внесенных изменений. Дополнительные сведения см. в разделе Анализ зависимостей.

Доступно для общедоступных репозиториев по умолчанию.

Кампании по безопасности

Исправление оповещений системы безопасности в большом масштабе путем создания кампаний безопасности и совместной работы с разработчиками для сокращения невыполненной работы по безопасности. Дополнительные сведения см. в разделе О кампаниях безопасности.

Обзор безопасности

Обзор безопасности позволяет просматривать общий ландшафт безопасности организации, просматривать тенденции и другие аналитические сведения, а также управлять конфигурациями безопасности, что упрощает мониторинг состояния безопасности организации и определение репозиториев и организаций, которые подвергаются наибольшему риску. Дополнительные сведения см. в разделе Общие сведения о безопасности.

Использование Чат GitHub Copilot данных для понимания оповещений безопасности

С GitHub Copilot Enterprise лицензией вы также можете попросить Чат GitHub Copilot помощи для лучшего понимания оповещений безопасности в репозиториях вашей организации по GitHub Advanced Security функциям (code scanning, secret scanning, и Dependabot alerts). Дополнительные сведения см. в разделе Вопросы GitHub Copilot на GitHub.

Дополнительные материалы