Skip to main content

Функции безопасности GitHub

В этой статье

Обзор функций безопасности GitHub.

Сведения о функциях безопасности GitHub

В GitHub есть функции безопасности, которые помогают защитить код и секреты в репозиториях и во всех организациях. Некоторые функции доступны для репозиториев во всех планах. Для предприятий, использующих GitHub Advanced Security, доступны дополнительные функции. Функции GitHub Advanced Security включены для всех общедоступных репозиториев на сайте GitHub.com. Дополнительные сведения см. в разделе Сведения о GitHub Advanced Security.

В GitHub Advisory Database содержится проверенный список уязвимостей системы безопасности, в котором можно искать и отфильтровывать нужные элементы. Дополнительные сведения см. в разделе Просмотр рекомендаций по безопасности в базе данных рекомендаций по GitHub.

Доступно для всех репозиториев

Политика безопасности

Предоставьте пользователям простую возможность конфиденциально сообщать об уязвимостях системы безопасности, обнаруженных в репозитории. Дополнительные сведения см. в разделе Добавление политики безопасности в репозиторий.

Рекомендации по безопасности

Обсуждайте в частном порядке и устраняйте уязвимости системы безопасности в коде репозитория. Вы также можете опубликовать рекомендацию по безопасности, чтобы предупредить сообщество об уязвимости, и призвать участников сообщества обновить свой код. Дополнительные сведения см. в разделе Сведения о рекомендациях по безопасности репозитория.

Dependabot alerts обновления системы безопасности

Просматривайте оповещения о зависимостях, в которых имеются уязвимости системы безопасности, и решайте, нужно ли автоматически создавать запросы на включение внесенных изменений для обновления этих зависимостей. Дополнительные сведения см. в разделах Сведения об оповещениях Dependabot и Сведения об обновлениях для системы безопасности Dependabot.

Обзор различных функций, предлагаемых Dependabot, и инструкции по началу работы см. в разделе Краткое руководство по Dependabot.

Обновления версий Dependabot

Используйте Dependabot для автоматического создания запросов на включение внесенных изменений, чтобы поддерживать зависимости в актуальном состоянии. Это помогает снизить риски для более старых версий зависимостей. Использование более новых версий упрощает применение исправлений при обнаружении уязвимостей безопасности, а также упрощает создание запросов на включение внесенных изменений для обновления уязвимых зависимостей для Dependabot security updates. Дополнительные сведения см. в разделе Сведения об обновлениях версий Dependabot.

Граф зависимостей

Схема зависимостей позволяет изучать экосистемы и пакеты, от которых зависит ваш репозиторий, а также репозитории и пакеты, которые зависят от вашего репозитория.

Схему зависимостей можно найти на вкладке Аналитика репозитория. Дополнительные сведения см. в разделе Сведения о графе зависимостей.

Если у вас есть хотя бы доступ на чтение к репозиторию, вы можете экспортировать граф зависимостей для репозитория в виде совместимого с SPDX программного обеспечения (SBOM) с помощью пользовательского интерфейса GitHub или REST API GitHub. Дополнительные сведения см. в разделе Экспорт спецификации программного обеспечения для репозитория.

Общие сведения о безопасности для репозиториев

Обзор безопасности показывает, какие функции безопасности включены для репозитория, и позволяет настроить все доступные функции безопасности, которые еще не включены.

Доступно для бесплатных общедоступных репозиториев

Оповещения о проверке секретов для партнеров

Автоматическое обнаружение утечки секретов во всех общедоступных репозиториях, а также в общедоступных пакетах npm. GitHub сообщает соответствующему поставщику услуг, что секрет может быть скомпрометирован. Дополнительные сведения о поддерживаемых секретах и поставщиках услуг см. в разделе Шаблоны сканирования секретов.

В составе GitHub Advanced Security

Следующие функции GitHub Advanced Security доступны и бесплатны для общедоступных репозиториев на GitHub.com. Организациям, использующим GitHub Enterprise Cloud с лицензией на GitHub Advanced Security, доступен полный набор функций в любом их репозитории. Список функций, доступных в GitHub Enterprise Cloud, см. в документации по GitHub Enterprise Cloud.

Code scanning

Автоматически обнаруживайте уязвимости безопасности и ошибки в новом или измененном коде. Возможные проблемы выделяются и для них приводятся подробные сведения, что позволяет исправлять код до его слияния с ветвью по умолчанию. Дополнительные сведения см. в разделе Сведения о проверке кода.

Оповещения о проверке секретов для пользователей

Автоматически обнаруживайте маркеры или учетные данные, которые были возвращены в репозиторий. Вы можете просматривать оповещения для любых секретов, которые GitHub находит в коде, на вкладке Безопасность репозитория, чтобы узнать, какие маркеры или учетные данные следует считать скомпрометируемыми. Дополнительные сведения см. в разделе "Сведения о проверке секретов".

Проверка зависимостей

Отображение полного влияния изменений на зависимости и просмотр сведений об уязвимых версиях до слияния запроса на включение внесенных изменений. Дополнительные сведения см. в разделе Сведения о проверке зависимостей.

Дополнительные материалы