Skip to main content
Мы публикуем частые обновления нашей документации, и перевод этой страницы может все еще выполняться. Актуальные сведения см. в документации на английском языке.
All products
Безопасность кода

Защита репозитория

В этой статье

Несколько возможностей GitHub позволяют поддерживать безопасность репозитория.

Кто может использовать эту функцию

Repository administrators and organization owners can configure repository security settings.

Введение

В этом руководстве показано, как настроить функции безопасности для репозитория. Чтобы настроить параметры безопасности для репозитория, необходимо быть администратором репозитория или владельцем организации.

У каждого репозитория свои потребности в безопасности, поэтому вам может не потребоваться включить все функции для репозитория. Дополнительные сведения см. в разделе Функции безопасности GitHub.

Некоторые функции доступны для репозиториев во всех планах. Для предприятий, использующих GitHub Advanced Security, доступны дополнительные функции. Функции GitHub Advanced Security включены для всех общедоступных репозиториев на сайте GitHub.com. Дополнительные сведения см. в разделе Сведения о GitHub Advanced Security.

Управление доступом к репозиторию

Первым шагом к обеспечению безопасности репозитория является определение пользователей, которые могут просматривать и изменять код. Дополнительные сведения см. в разделе Управление параметрами и функциями репозитория.

На странице main репозитория щелкните Settings (Параметры шестеренки) %}, а затем прокрутите страницу вниз до раздела "Зона опасности".

Управление графом зависимостей

Граф зависимостей создается автоматически для всех общедоступных репозиториев. Его можно включить для вилок и частных репозиториев. Граф зависимостей интерпретирует файлы манифеста и блокировки в репозитории для определения зависимостей.

  1. На главной странице репозитория щелкните Параметры.
  2. Выберите Безопасность и анализ.
  3. Рядом с графом зависимостей щелкните Включить или Отключить.

Дополнительные сведения см. в разделе Изучение зависимостей репозитория.

Управление Dependabot alerts

Dependabot alerts создаются, когда GitHub выявляет зависимость в графе зависимостей с уязвимостью. Вы можете включить Dependabot alerts для любого репозитория.

  1. Щелкните фотографию профиля и выберите Параметры.
  2. Выберите Безопасность и анализ.
  3. Нажмите кнопку Включить все рядом с Dependabot alerts.

Дополнительные сведения см. в разделах Сведения об оповещениях Dependabotи Управление параметрами безопасности и анализа для личной учетной записи.

Настройка проверки зависимостей

Проверка зависимостей позволяет визуализировать изменения зависимостей в запросах на вытягивание, прежде чем они будут объединены в репозитории. Дополнительные сведения см. в разделе Сведения о проверке зависимостей.

Проверка зависимостей — это функция GitHub Advanced Security. Проверка зависимостей по умолчанию включена для всех общедоступных репозиториев. Организации, в которых используется GitHub Enterprise Cloud и Advanced Security, могут дополнительно включить эти функции для частных и внутренних репозиториев. Дополнительные сведения см. в документации по GitHub Enterprise Cloud.

Управление функцией "Dependabot security updates"

Для любого репозитория, в котором используются Dependabot alerts, можно включить Dependabot security updates для создания запросов на включение внесенных изменений с обновлениями безопасности при обнаружении уязвимостей.

  1. На главной странице репозитория щелкните Параметры.
  2. Выберите Безопасность и анализ.
  3. Рядом с пунктом "Dependabot security updates" щелкните Включить.

Дополнительные сведения см. в разделах Сведения об обновлениях для системы безопасности Dependabot и Настройка обновлений для системы безопасности Dependabot.

Управление функцией "Dependabot version updates"

Можно включить Dependabot для автоматического создания запросов на включение внесенных изменений, чтобы поддерживать зависимости в актуальном состоянии. Дополнительные сведения см. в разделе Сведения об обновлениях версий Dependabot.

  1. На главной странице репозитория щелкните Параметры.
  2. Выберите Безопасность и анализ.
  3. Щелкните Включить рядом с Dependabot version updates, чтобы создать простой файл конфигурации dependabot.yml.
  4. Укажите зависимости, которые нужно обновить, и зафиксируйте файл в репозиторий. Дополнительные сведения см. в разделе Настройка обновлений версий Dependabot.

Настройка функции "code scanning"

Вы можете настроить code scanning для автоматического обнаружения уязвимостей и ошибок в коде, хранящейся в репозитории, с помощью Рабочий процесс анализа CodeQL или стороннего средства. В зависимости от языков программирования в репозитории можно настроить code scanning с CodeQL с помощью настройки по умолчанию, в которой GitHub автоматически определяет языки для сканирования, наборы запросов для выполнения и события, которые активируют новую проверку.

  1. На странице main репозитория щелкните Параметры.
  2. В разделе "Безопасность" боковой панели щелкните Безопасность и анализ кода.
  3. В разделе "Code scanning" выберите Настройка , а затем щелкните По умолчанию.
  4. Во всплывающем окне просмотрите параметры конфигурации по умолчанию для репозитория, а затем щелкните Включить CodeQL.

Кроме того, можно использовать расширенную настройку, которая создает файл рабочего процесса, который можно изменить для настройки code scanning с помощью CodeQL. Дополнительные сведения см. в разделе Настройка проверки кода для репозитория.

Code scanning доступен для всех общедоступных репозиториев, а также для частных репозиториев, принадлежащих организациям, которые являются частью предприятия с лицензией на GitHub Advanced Security.

Настройка функции "secret scanning"

Оповещения о проверке секретов для партнеров автоматически выполняется в общедоступных репозиториях и общедоступных пакетах npm для уведомления поставщиков служб об утечке секретов в GitHub.com.

Оповещения о проверке секретов для пользователей доступны бесплатно во всех общедоступных репозиториях. Организации, использующие GitHub Enterprise Cloud с лицензией на GitHub Advanced Security, также могут включить Оповещения проверки секретов для пользователей в своих частных и внутренних репозиториях. Дополнительные сведения см. в разделах "Сведения о проверке секретов" и "Сведения о GitHub Advanced Security".

  1. На главной странице репозитория щелкните Параметры.

  2. Щелкните Анализ & безопасности кода.

  3. Рядом с Secret scanning нажмите Включить.

Настройка политики безопасности

Если вы являетесь ответственный за репозиторий, рекомендуется указать политику безопасности для репозитория, создав в репозитории файл с именем SECURITY.md. Этот файл содержит инструкции пользователям о том, как лучше всего связаться с вами и сотрудничать с вами, когда они хотят сообщить об уязвимостях системы безопасности в репозитории. Политику безопасности репозитория можно просмотреть на вкладке Безопасность репозитория.

  1. На главной странице репозитория щелкните Безопасность.
  2. Выберите Политика безопасности.
  3. Нажмите кнопку Запуск установки.
  4. Добавьте сведения о поддерживаемых версиях проекта и о том, как сообщить об уязвимости.

Дополнительные сведения см. в разделе Добавление политики безопасности в репозиторий.

Дальнейшие действия

Вы можете просматривать оповещения функций безопасности и управлять ими для обработки зависимостей и уязвимостей в коде. Дополнительные сведения см. в разделе "Просмотр и обновление оповещений Dependabot," "Управление запросами на вытягивание для обновлений зависимостей", "Управление оповещениями проверки кода для репозитория" и "Управление оповещениями о проверке секретов".

Вы также можете использовать средства GitHubдля аудита ответов на оповещения системы безопасности. Дополнительные сведения см. в разделе Аудит оповещений системы безопасности.

При наличии уязвимости системы безопасности можно создать рекомендации по безопасности, которые позволят в частном порядке обсудить и устранить уязвимость. Дополнительные сведения см. в разделах Сведения о рекомендациях по безопасности репозитория и Создание рекомендаций по безопасности репозитория.