保护您的仓库

您可以使用许多 GitHub 功能来帮助保护仓库的安全。

Repository administrators and organization owners can configure repository security settings.

简介

本指南向您展示如何配置仓库的安全功能。 您必须是仓库管理员或组织所有者才能配置仓库的安全设置。

您的安全需求是仓库独有的,因此您可能不需要启用仓库的每个功能。 更多信息请参阅“GitHub 安全功能”。

Some features are available for repositories on all plans. Additional features are available to enterprises that use GitHub Advanced Security. GitHub Advanced Security features are also enabled for all public repositories on GitHub.com. 更多信息请参阅“关于 GitHub Advanced Security”。

管理对仓库的访问

保护仓库的第一步是设置谁可以查看和修改您的代码。 更多信息请参阅“管理仓库设置”。

从仓库主页点击 设置,然后向下滚动到“危险区”。

  • 要更改谁可以查看您的仓库,请点击 Change visibility(更改可见性)。 更多信息请参阅“设置仓库可见性”。
  • 要更改谁可以访问您的仓库并调整权限,请点击 Manage access(管理访问)。 更多信息请参阅“管理有权访问仓库的团队和人员”。

设置安全策略

  1. 从仓库的主页点击 Security(安全性)
  2. 点击 Security policy(安全策略)
  3. 单击 Start setup(开始设置)
  4. 添加关于项目受支持版本以及如何报告漏洞的信息。

更多信息请参阅“添加安全政策到仓库”。

管理依赖关系图

The dependency graph is automatically generated for all public repositories, and you can choose to enable it for private repositories. It interprets manifest and lock files in a repository to identify dependencies.

  1. 从仓库的主页点击 Settings(设置)
  2. 点击 Security & analysis(安全和分析)
  3. 在依赖关系图旁边,单击 Enable(启用)Disable(禁用)

更多信息请参阅“探索仓库的依赖项”。

管理 Dependabot 警报

Dependabot 警报 are generated when GitHub identifies a dependency in the dependency graph with a vulnerability. You can enable Dependabot 警报 for any repository.

  1. 单击您的个人资料照片,然后单击 Settings(设置)
  2. 点击 Security & analysis(安全和分析)
  3. 单击 Dependabot 警报 旁边的 Enable all(全部启用)

更多信息请参阅“关于漏洞依赖项的警报”和“管理用户帐户的安全性和分析设置”。

管理依赖项审查

依赖项审查可让您在合并到仓库之前在拉取请求中显示依赖关系的变化。 更多信息请参阅“关于依赖项审查”。

Dependency review is a GitHub Advanced Security feature. Dependency review is already enabled for all public repositories. Organizations that use GitHub Enterprise Cloud with Advanced Security can additionally enable dependency review for private and internal repositories. For more information, see the GitHub Enterprise Cloud documentation.

管理 Dependabot 安全更新

对于任何使用 Dependabot 警报 的仓库,您可以启用 Dependabot 安全更新 在检测到漏洞时提出带有安全更新的拉取请求。

  1. 从仓库的主页点击 Settings(设置)
  2. 点击 Security & analysis(安全和分析)
  3. 在 Dependabot 安全更新 旁边,单击 Enable(启用)

更多信息请参阅“关于 Dependabot 安全更新”和“配置 Dependabot 安全更新”。

管理 Dependabot 版本更新

您可以让 Dependabot 自动提出拉取请求以保持依赖项的更新。 更多信息请参阅“关于 Dependabot 版本更新“。

要启用 Dependabot 版本更新,您必须创建 dependabot.yml 配置文件。 For more information, see "Enabling and disabling Dependabot version updates."

配置 代码扫描

您可以设置 代码扫描 使用 CodeQL 分析工作流程 或第三方工具自动识别仓库中存储的代码中的漏洞和错误。 更多信息请参阅“为仓库设置 代码扫描”。

代码扫描 is available for all public repositories, and for private repositories owned by organizations that are part of an enterprise with a license for GitHub Advanced Security.

配置 秘密扫描

秘密扫描 is enabled for all public repositories and is available for private repositories owned by organizations that are part of an enterprise with a license for GitHub Advanced Security. For more information, see the GitHub Enterprise Cloud documentation.

后续步骤

您可以查看和管理来自安全功能的警报,以解决代码中的依赖项和漏洞。 For more information, see "Viewing and updating vulnerable dependencies in your repository," "Managing pull requests for dependency updates," "Managing 代码扫描 for your repository," and "Managing alerts from 秘密扫描."

If you have a security vulnerability, you can create a security advisory to privately discuss and fix the vulnerability. 更多信息请参阅“关于 GitHub Security Advisories”和“创建安全通告”。

此文档对您有帮助吗?

隐私政策

帮助我们创建出色的文档!

所有 GitHub 文档都是开源的。看到错误或不清楚的内容了吗?提交拉取请求。

做出贡献

或者, 了解如何参与。