Функции безопасности GitHub

Обзор GitHubфункций безопасности .

В этой статье

О GitHubфункциях безопасности

GitHubФункции безопасности помогает сохранить ваш код и секреты в безопасности как в репозиториях, так и в разных организациях.

  • Некоторые функции доступны для всех GitHub тарифов.
  • Дополнительные функции доступны организациям , которые GitHub TeamGitHub Enterprise Cloud приобретают GitHub Advanced Security продукт:
  • Кроме того, ряд GitHub Secret Protection функций GitHub Code Security можно бесплатно запускать в публичных репозиториях.

Доступно для всех GitHub тарифов

Следующие функции безопасности доступны для вас вне зависимости от GitHub выбранного тарифного плана. Вам не нужно покупать GitHub Secret Protection or GitHub Code Security , чтобы использовать эти функции.

Большинство этих функций доступны для публичных и частных репозиториев. Некоторые функции доступны только для общедоступных репозиториев.

Политика безопасности

Предоставьте пользователям простую возможность конфиденциально сообщать об уязвимостях системы безопасности, обнаруженных в репозитории. Дополнительные сведения см. в разделе Adding a security policy to your repository.

Граф зависимостей

Схема зависимостей позволяет изучать экосистемы и пакеты, от которых зависит ваш репозиторий, а также репозитории и пакеты, которые зависят от вашего репозитория.

Схему зависимостей можно найти на вкладке Аналитика репозитория. Дополнительные сведения см. в разделе Dependency graph.

Спецификация программного обеспечения

Вы можете экспортировать граф зависимостей репозитория в виде совместимого с SPDX программного обеспечения (SBOM). Дополнительные сведения см. в разделе Exporting a software bill of materials for your repository.

GitHub Advisory Database

В нем GitHub Advisory Database содержится тщательно отобранный список уязвимостей безопасности, которые можно просматривать, искать и фильтровать. Дополнительные сведения см. в разделе Browsing security advisories in the GitHub Advisory Database.

Dependabot alerts и обновления безопасности

Просматривайте оповещения о зависимостях, в которых имеются уязвимости системы безопасности, и решайте, нужно ли автоматически создавать запросы на включение внесенных изменений для обновления этих зависимостей. Дополнительные сведения см. в разделе [AUTOTITLE и Dependabot alerts](/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates).

Вы также можете использовать по умолчанию Правила автообработки зависимостей курированное GitHub by для автоматической фильтрации значительного количества ложных срабатываний.

Общие сведения о различных функциях, предлагаемых Dependabot и инструкции по началу работы см. в разделе Dependabot quickstart guide.

Dependabot malware alerts

На GitHub.com и GitHub Enterprise Server 3.22+ вы можете просматривать оповещения о вредоносных зависимости в вашем репозитории. См . раздел AUTOTITLE.

Dependabot version updates

Используйте Dependabot автоматическое подъём pull request, чтобы ваши зависимости оставались up-to-date. Это помогает снизить риски для более старых версий зависимостей. Использование новых версий облегчает внедрение патчей при обнаружении уязвимостей безопасности, а также Dependabot security updates облегчает успешное подбор pull request-запросов для улучшения уязвимых зависимостей. Вы также можете настроить Dependabot version updates их интеграцию в ваши репозитории. Дополнительные сведения см. в разделе Dependabot version updates.

Рекомендации по безопасности

Приватно обсудите и исправьте уязвимости безопасности в коде общедоступный репозиторий. Вы также можете опубликовать рекомендацию по безопасности, чтобы предупредить сообщество об уязвимости, и призвать участников сообщества обновить свой код. Дополнительные сведения см. в разделе Repository security advisories.

Наборы правил репозитория

Применение согласованных стандартов кода, безопасности и соответствия требованиям между ветвями и тегами. Дополнительные сведения см. в разделе Сведения о наборе правил.

Аттестации артефактов

Создайте нефиксируемые гарантии прованства и целостности для создаваемого программного обеспечения. Дополнительные сведения см. в разделе Использование аттестаций артефактов для установления происхождения сборок.

Примечание.

Если у вас есть GitHub Free, GitHub Proили GitHub Team план, аттестации артефактов доступны только для публичных репозиториев. Чтобы использовать аттестацию артефактов в частных или внутренних хранилищах, нужно иметь определённый GitHub Enterprise Cloud план.

Оповещения о сканировании секретов для партнеров

При GitHub обнаружении утечки секрета в публичном репозитории или публичном NPM-пакете, GitHub сообщает соответствующему поставщику услуг о том, что секрет может быть скомпрометирован. Дополнительные сведения о поддерживаемых секретах и поставщиках услуг см. в разделе Поддерживаемые шаблоны сканирования секретов.

Защита от push-уведомлений для пользователей

Защита от пуша для пользователей автоматически защищает вас от случайного переноса секретов в публичные репозитории, независимо от того, был ли репозиторий secret scanning активирован. Защита от отправки для пользователей включена по умолчанию, но вы можете отключить функцию в любое время с помощью параметров личная учетная запись. Дополнительные сведения см. в разделе Управление защитой от push для пользователей.

Доступно с GitHub Secret Protection

Для аккаунтов на GitHub Team иGitHub Enterprise Cloud , вы можете получить доступ к дополнительным функциям безопасности при покупке .GitHub Secret Protection

GitHub Secret Protection Включает функции, которые помогают обнаруживать и предотвращать утечки учетных данных и распространение секретов, например secret scanning , для обнаружения жёстко закодированных учетных данных и push-защиты для их блокировки до того, как они попадут в ваш репозиторий.

Эти функции доступны для всех типов репозитория. Некоторые из этих функций доступны для публичных репозиториев бесплатно, то есть для включения функции в публичном репозитории не нужно покупать GitHub Secret Protection .

Уведомления о секретном сканировании для пользователей

Автоматически обнаруживать жёстко заданные учетные данные, которые были зарегистрированы в репозитории. Вы можете просматривать оповещения о любых секретах, найденных GitHub в вашем коде, во Security and quality вкладке вашего репозитория, чтобы быстро реагировать на утечки учетных данных. Дополнительные сведения см. в разделе Secret scanning.

Доступно для общедоступных репозиториев по умолчанию.

Секретное сканирование Copilot

Секретное сканирование CopilotGeneric secret detection — это расширение secret scanning на базе искусственного интеллекта, которое выявляет неструктурированные секреты (пароли) в исходном коде и затем генерирует оповещение. Дополнительные сведения см. в разделе Карта приложения: функции безопасности GitHub и качества ИИ.

Защита от push-уведомлений

Push-защита проактивно сканирует ваш код и код всех участников репозитория на наличие жёстко заданных секретов во время процесса push-запроса и блокирует push при обнаружении утечек учетных данных. Если участник обходит блокировку, генерируется оповещение. Дополнительные сведения см. в разделе Push protection.

Доступно для общедоступных репозиториев по умолчанию.

Делегированный обход для защиты от push-уведомлений

Делегированный обход для защиты от пуша позволяет контролировать, какие игроки, роли и команды:

  • Можно обойти защиту от толчка
  • Освобождены от защиты от push
  • Можно просматривать запросы на обход от других участников

Дополнительные сведения см. в разделе Delegated bypass for push protection.

Пользовательские шаблоны

Вы можете определить пользовательские паттерны, чтобы выявлять секреты, которые не обнаруживаются шаблонами по умолчанию, поддерживаемыми secret scanning, например, паттерны, внутренние для вашей организации. Дополнительные сведения см. в разделе Defining custom patterns for secret scanning.

Обзор безопасности

Обзор безопасности позволяет просматривать общий ландшафт безопасности организации, просматривать тенденции и другие аналитические сведения, а также управлять конфигурациями безопасности, что упрощает мониторинг состояния безопасности организации и определение репозиториев и организаций, которые подвергаются наибольшему риску. Дополнительные сведения см. в разделе Security overview.

Доступно с GitHub Code Security

Для аккаунтов на GitHub Team иGitHub Enterprise Cloud , вы можете получить доступ к дополнительным функциям безопасности при покупке .GitHub Code Security

GitHub Code Security включает функции, которые помогают находить и исправлять уязвимости, такие code scanningкак премиум-функции Dependabot и проверка зависимостей.

Эти функции доступны для всех типов репозитория. Некоторые из этих функций доступны для публичных репозиториев бесплатно, то есть для включения функции в публичном репозитории не нужно покупать GitHub Code Security .

Code scanning

Автоматически обнаруживайте уязвимости безопасности и ошибки в новом или измененном коде. Возможные проблемы выделяются и для них приводятся подробные сведения, что позволяет исправлять код до его слияния с ветвью по умолчанию. Дополнительные сведения см. в разделе Code scanning.

Доступно для общедоступных репозиториев по умолчанию.

CodeQL CLI

Запускайте CodeQL процессы локально на программных проектах или генерируйте code scanning результаты для загрузки в GitHub. Дополнительные сведения см. в разделе CodeQL CLI.

Доступно для общедоступных репозиториев по умолчанию.

Автофикс второго пилота

Получайте автоматически сгенерированные исправления для code scanning оповещений. Дополнительные сведения см. в разделе Карта приложения: функции безопасности GitHub и качества ИИ.

Доступно для общедоступных репозиториев по умолчанию.

Пользовательские правила автоматической сортировки для Dependabot

Помогите управлять данными Dependabot alerts в масштабе. При использовании пользовательские правила автоматической сортировки у вас есть контроль над оповещениями, которые вы хотите игнорировать, отключать или активировать обновление системы безопасности Dependabot. Дополнительные сведения см. в разделе [AUTOTITLE и Dependabot alerts](/code-security/dependabot/dependabot-auto-triage-rules/customizing-auto-triage-rules-to-prioritize-dependabot-alerts).

Просмотр зависимостей

Отображение полного влияния изменений на зависимости и просмотр сведений об уязвимых версиях до слияния запроса на включение внесенных изменений. Дополнительные сведения см. в разделе Dependency review.

Доступно для общедоступных репозиториев по умолчанию.

Кампании по безопасности

Исправление оповещений системы безопасности в большом масштабе путем создания кампаний безопасности и совместной работы с разработчиками для сокращения невыполненной работы по безопасности. Дополнительные сведения см. в разделе О кампаниях безопасности.

Обзор безопасности

Обзор безопасности позволяет просматривать общий ландшафт безопасности организации, просматривать тенденции и другие аналитические сведения, а также управлять конфигурациями безопасности, что упрощает мониторинг состояния безопасности организации и определение репозиториев и организаций, которые подвергаются наибольшему риску. Дополнительные сведения см. в разделе Security overview.

Дополнительные материалы