Функции безопасности GitHub

Обзор GitHubфункций безопасности .

В этой статье

О GitHubфункциях безопасности

          GitHubФункции безопасности помогает сохранить ваш код и секреты в безопасности как в репозиториях, так и в разных организациях.
  • Некоторые функции доступны для всех GitHub тарифов.
  • Дополнительные функции доступны организациям , которые GitHub TeamGitHub Enterprise Cloud приобретают GitHub Advanced Security продукт:
  • Кроме того, ряд GitHub Secret Protection функций GitHub Code Security можно бесплатно запускать в публичных репозиториях.

Доступно для всех GitHub тарифов

Следующие функции безопасности доступны для вас вне зависимости от GitHub выбранного тарифного плана. Вам не нужно покупать GitHub Secret Protection or GitHub Code Security , чтобы использовать эти функции.

Большинство этих функций доступны для публичных и частных репозиториев. Некоторые функции доступны только для общедоступных репозиториев.

Политика безопасности

Предоставьте пользователям простую возможность конфиденциально сообщать об уязвимостях системы безопасности, обнаруженных в репозитории. Дополнительные сведения см. в разделе Добавление политики безопасности в репозиторий.

Граф зависимостей

Схема зависимостей позволяет изучать экосистемы и пакеты, от которых зависит ваш репозиторий, а также репозитории и пакеты, которые зависят от вашего репозитория.

Схему зависимостей можно найти на вкладке Аналитика репозитория. Дополнительные сведения см. в разделе Сведения о графе зависимостей.

Спецификация программного обеспечения

Вы можете экспортировать граф зависимостей репозитория в виде совместимого с SPDX программного обеспечения (SBOM). Дополнительные сведения см. в разделе Экспорт программного счета за материалы для репозитория.

GitHub Advisory Database

В нем GitHub Advisory Database содержится тщательно отобранный список уязвимостей безопасности, которые можно просматривать, искать и фильтровать. Дополнительные сведения см. в разделе Просмотр рекомендаций по безопасности в базе данных рекомендаций по GitHub.

          Dependabot alerts и обновления безопасности

Просматривайте оповещения о зависимостях, в которых имеются уязвимости системы безопасности, и решайте, нужно ли автоматически создавать запросы на включение внесенных изменений для обновления этих зависимостей. Дополнительные сведения см. в разделе [AUTOTITLE и Сведения об оповещениях Dependabot](/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates).

Вы также можете использовать по умолчанию Правила автообработки зависимостей курированное GitHub by для автоматической фильтрации значительного количества ложных срабатываний.

Общие сведения о различных функциях, предлагаемых Dependabot и инструкции по началу работы см. в разделе Краткое руководство по зависимостям.

Dependabot malware alerts

На GitHub.com и GitHub Enterprise Server 3.22+ вы можете просматривать оповещения о вредоносных зависимости в вашем репозитории. См . раздел AUTOTITLE.

Dependabot version updates

Используйте Dependabot автоматическое подъём pull request, чтобы ваши зависимости оставались up-to-date. Это помогает снизить риски для более старых версий зависимостей. Использование новых версий облегчает внедрение патчей при обнаружении уязвимостей безопасности, а также Dependabot security updates облегчает успешное подбор pull request-запросов для улучшения уязвимых зависимостей. Вы также можете настроить Dependabot version updates их интеграцию в ваши репозитории. Дополнительные сведения см. в разделе Сведения об обновлениях версий Dependabot.

Рекомендации по безопасности

Приватно обсудите и исправьте уязвимости безопасности в коде общедоступный репозиторий. Вы также можете опубликовать рекомендацию по безопасности, чтобы предупредить сообщество об уязвимости, и призвать участников сообщества обновить свой код. Дополнительные сведения см. в разделе Сведения о помощниках по безопасности репозитория.

Наборы правил репозитория

Применение согласованных стандартов кода, безопасности и соответствия требованиям между ветвями и тегами. Дополнительные сведения см. в разделе Сведения о наборе правил.

Аттестации артефактов

Создайте нефиксируемые гарантии прованства и целостности для создаваемого программного обеспечения. Дополнительные сведения см. в разделе Использование аттестаций артефактов для установления происхождения сборок.

Примечание.

Если у вас есть GitHub Free, GitHub Proили GitHub Team план, аттестации артефактов доступны только для публичных репозиториев. Чтобы использовать аттестацию артефактов в частных или внутренних хранилищах, нужно иметь определённый GitHub Enterprise Cloud план.

Оповещения о сканировании секретов для партнеров

При GitHub обнаружении утечки секрета в публичном репозитории или публичном NPM-пакете, GitHub сообщает соответствующему поставщику услуг о том, что секрет может быть скомпрометирован. Дополнительные сведения о поддерживаемых секретах и поставщиках услуг см. в разделе Поддерживаемые шаблоны сканирования секретов.

Защита от push-уведомлений для пользователей

Защита от пуша для пользователей автоматически защищает вас от случайного переноса секретов в публичные репозитории, независимо от того, был ли репозиторий secret scanning активирован. Защита от отправки для пользователей включена по умолчанию, но вы можете отключить функцию в любое время с помощью параметров личная учетная запись. Дополнительные сведения см. в разделе Управление защитой от push для пользователей.

Доступно с GitHub Secret Protection

Для аккаунтов на GitHub Team иGitHub Enterprise ServerGitHub Enterprise Cloud , вы можете получить доступ к дополнительным функциям безопасности при покупке .GitHub Secret Protection

          GitHub Secret Protection Включает функции, которые помогают обнаруживать и предотвращать секретные утечки, такие как secret scanning защита от нажатия.

Эти функции доступны для всех типов репозитория. Некоторые из этих функций доступны для публичных репозиториев бесплатно, то есть для включения функции в публичном репозитории не нужно покупать GitHub Secret Protection .

Уведомления о секретном сканировании для пользователей

Автоматически обнаруживайте маркеры или учетные данные, которые были возвращены в репозиторий. Вы можете просматривать оповещения о любых секретах, найденных GitHub в вашем коде, во Security and quality вкладке репозитория, чтобы знать, какие токены или учетные данные считать скомпрометированными. Дополнительные сведения см. в разделе Сведения о оповещениях проверки секретов.

Доступно для общедоступных репозиториев по умолчанию.

Сканирование секретов Copilot

          Сканирование секретов CopilotGeneric secret detection — это расширение secret scanning на базе искусственного интеллекта, которое выявляет неструктурированные секреты (пароли) в исходном коде и затем генерирует оповещение. Дополнительные сведения см. в разделе [AUTOTITLE](/code-security/secret-scanning/copilot-secret-scanning/responsible-ai-generic-secrets).

Защита от push-уведомлений

Защита push-уведомлений упреждает сканирование кода и кода всех участников репозитория для секретов во время принудительного выполнения и блокирует отправку при обнаружении секретов. Если участник обходит блокировку, GitHub создаётся оповещение. Дополнительные сведения см. в разделе Сведения о защите push-уведомлений.

Доступно для общедоступных репозиториев по умолчанию.

Делегированный обход для защиты от push-уведомлений

Делегированный обход для защиты от пуша позволяет контролировать, какие игроки, роли и команды:

  • Можно обойти защиту от толчка
  • Освобождены от защиты от push
  • Можно просматривать запросы на обход от других участников

Дополнительные сведения см. в разделе Сведения о делегированной обходе для защиты от push-уведомлений.

Пользовательские шаблоны

Вы можете определить пользовательские паттерны, чтобы выявлять секреты, которые не обнаруживаются шаблонами по умолчанию, поддерживаемыми secret scanning, например, паттерны, внутренние для вашей организации. Дополнительные сведения см. в разделе Определение пользовательских шаблонов для проверки секретов.

Обзор безопасности

Обзор безопасности позволяет просматривать общий ландшафт безопасности организации, просматривать тенденции и другие аналитические сведения, а также управлять конфигурациями безопасности, что упрощает мониторинг состояния безопасности организации и определение репозиториев и организаций, которые подвергаются наибольшему риску. Дополнительные сведения см. в разделе Общие сведения о безопасности.

Доступно с GitHub Code Security

Для аккаунтов на GitHub Team иGitHub Enterprise ServerGitHub Enterprise Cloud , вы можете получить доступ к дополнительным функциям безопасности при покупке .GitHub Code Security

          GitHub Code Security включает функции, которые помогают находить и исправлять уязвимости, такие code scanningкак премиум-функции Dependabot и проверка зависимостей.

Эти функции доступны для всех типов репозитория. Некоторые из этих функций доступны для публичных репозиториев бесплатно, то есть для включения функции в публичном репозитории не нужно покупать GitHub Code Security .

Code scanning

Автоматически обнаруживайте уязвимости безопасности и ошибки в новом или измененном коде. Возможные проблемы выделяются и для них приводятся подробные сведения, что позволяет исправлять код до его слияния с ветвью по умолчанию. Дополнительные сведения см. в разделе Сведения о проверке кода.

Доступно для общедоступных репозиториев по умолчанию.

CodeQL CLI

Запускайте CodeQL процессы локально на программных проектах или генерируйте code scanning результаты для загрузки в GitHub. Дополнительные сведения см. в разделе Сведения о интерфейсе командной строки CodeQL.

Доступно для общедоступных репозиториев по умолчанию.

Автофикс второго пилота

Получайте автоматически сгенерированные исправления для code scanning оповещений. Дополнительные сведения см. в разделе Ответственное использование Автофикса Copilot для сканирования кода.

Доступно для общедоступных репозиториев по умолчанию.

          Пользовательские правила автоматической сортировки для Dependabot

Помогите управлять данными Dependabot alerts в масштабе. При использовании пользовательские правила автоматической сортировки у вас есть контроль над оповещениями, которые вы хотите игнорировать, отключать или активировать обновление системы безопасности Dependabot. Дополнительные сведения см. в разделе [AUTOTITLE и Сведения об оповещениях Dependabot](/code-security/dependabot/dependabot-auto-triage-rules/customizing-auto-triage-rules-to-prioritize-dependabot-alerts).

Просмотр зависимостей

Отображение полного влияния изменений на зависимости и просмотр сведений об уязвимых версиях до слияния запроса на включение внесенных изменений. Дополнительные сведения см. в разделе Сведения о проверке зависимостей.

Доступно для общедоступных репозиториев по умолчанию.

Кампании по безопасности

Исправление оповещений системы безопасности в большом масштабе путем создания кампаний безопасности и совместной работы с разработчиками для сокращения невыполненной работы по безопасности. Дополнительные сведения см. в разделе О кампаниях безопасности.

Обзор безопасности

Обзор безопасности позволяет просматривать общий ландшафт безопасности организации, просматривать тенденции и другие аналитические сведения, а также управлять конфигурациями безопасности, что упрощает мониторинг состояния безопасности организации и определение репозиториев и организаций, которые подвергаются наибольшему риску. Дополнительные сведения см. в разделе Общие сведения о безопасности.

Дополнительные материалы

  •         [AUTOTITLE](/get-started/learning-about-github/githubs-plans)

  •         [AUTOTITLE](/get-started/learning-about-github/about-github-advanced-security)

  •         [AUTOTITLE](/get-started/learning-about-github/github-language-support)