Code security guides
Сведения о том, как GitHub помогает улучшить безопасность кода.
Исправление и раскрытие уязвимости системы безопасности
Использование рекомендаций по безопасности репозитория для частного устранения сообщаемой уязвимости и получения CVE.Начать прохождение схемы обучения- 1Обзор
Сведения о скоординированном раскрытии информации об уязвимостях безопасности
Раскрытие информации об уязвимостях требует скоординированной работы специалистов по безопасности и специалистами по обслуживанию репозиториев. - 2Обзор
Сведения о базе данных рекомендаций GitHub
GitHub Advisory Database содержит список известных уязвимостей системы безопасности и вредоносных программ, разделенный на две категории: проверенные в GitHub и непроверенные рекомендации. - 3Обзор
Сведения о рекомендациях по глобальной безопасности
Глобальные рекомендации по безопасности живут в GitHub Advisory Database, коллекции CVEs и GitHub, влияющих на открытый код мире. Вы можете внести свой вклад в улучшение рекомендаций по глобальной безопасности. - 4Обзор
Сведения о рекомендациях по безопасности репозитория
С помощью рекомендаций по безопасности репозитория можно в частном порядке обсуждать, исправлять и публиковать сведения об уязвимостях системы безопасности в репозитории. - 5Практическое руководство
Рекомендации по написанию рекомендаций по безопасности репозитория
При создании или изменении рекомендаций по безопасности другие пользователи могут легко понять, когда вы указываете экосистему, имя пакета и затронутые версии с помощью стандартных форматов. - 6Практическое руководство
Конфиденциальное сообщение об уязвимости системы безопасности
Некоторые общедоступные репозитории настраивают рекомендации по безопасности, чтобы любой пользователь мог напрямую и в частном порядке сообщать об уязвимостях системы безопасности. - 7Практическое руководство
Управление уязвимостями системы безопасности, о которые сообщалось в частном порядке
Службы поддержки репозиториев могут управлять уязвимостями системы безопасности, о которых им сообщили в частном порядке в репозиториях, в которых включены отчеты об уязвимостях. - 8Практическое руководство
Настройка частных отчетов об уязвимостях для репозитория
Владельцы и администраторы общедоступных репозиториев могут разрешить исследователям безопасности безопасно сообщать об уязвимостях в репозитории, включив частные отчеты об уязвимостях. - 9Практическое руководство
Создание рекомендаций по безопасности репозитория
Вы можете создать проект рекомендаций по безопасности для частного обсуждения и устранения уязвимости безопасности в проекте разработки ПО с открытым кодом. - 10Практическое руководство
Добавление участника совместной работы в рекомендации по безопасности репозитория
Вы можете добавить других пользователей или команды для совместной работы по вопросам безопасности. - 11Практическое руководство
Совместная работа во временной частной вилке для устранения уязвимостей безопасности репозитория
Вы можете создать временную частную вилку для частной совместной работы по устранению уязвимостей безопасности в репозитории. - 12Практическое руководство
Публикация рекомендаций по безопасности репозитория
Вы можете опубликовать рекомендации по безопасности, чтобы информировать сообщество об уязвимости безопасности в проекте. - 13Практическое руководство
Изменение рекомендаций по безопасности репозитория
Вы можете изменить метаданные и описание рекомендаций по обеспечению безопасности репозитория, если необходимо обновить сведения или исправить ошибки. - 14Практическое руководство
Отзыв рекомендаций по безопасности репозитория
Вы можете отозвать опубликованные рекомендации по безопасности репозитория. - 15Практическое руководство
Удаление участника совместной работы из рекомендаций по безопасности репозитория
При удалении участника совместной работы из рекомендаций по безопасности для репозитория этот участник потеряет доступ на чтение и запись к обсуждению и метаданным рекомендаций по безопасности.
Code security learning paths
Получение уведомлений о небезопасных зависимостях
Настройте Dependabot для оповещения о новых уязвимостях или вредоносных программ в зависимостях.
Получение запросов на вытягивание для обновления уязвимых зависимостей
Настройте Dependabot для создания запросов на вытягивание при появлении новых уязвимостей.
Поддержание актуальности зависимостей
Используйте Dependabot для проверки новых выпусков и создания запросов на вытягивание для обновления зависимостей.
Проверка секретов
Настройте проверку секретов, чтобы защититься от случайного возврата маркеров, паролей и других секретов в репозиторий.
Выполнение проверки кода с помощью GitHub Actions
Проверьте ветвь по умолчанию и каждый запрос на вытягивание, чтобы не допустить уязвимостей и ошибок в репозитории.
Выполнение проверки кода CodeQL в CI
Настройте CodeQL в существующей CI и отправьте результаты в проверку кода GitHub.
Интеграция с сканированием кода
Отправьте результаты анализа кода из сторонних систем в GitHub с помощью SARIF.
Сквозная цепочка поставок
Как подумать о защите учетных записей пользователей, кода и процесса сборки.
All Code security guides
Добавление политики безопасности в репозиторий
Практическое руководствоВы можете предоставить инструкции по информированию об уязвимостях безопасности в проекте, добавив политику безопасности в репозиторий.
- Security policies
- Vulnerabilities
- Repositories
- Health
Функции безопасности GitHub
ОбзорОбзор функций безопасности GitHub.
- Repositories
- Dependencies
- Vulnerabilities
- Advanced Security
Защита вашей организации
Практическое руководствоНесколько возможностей GitHub позволяют поддерживать безопасность организации.
- Organizations
- Dependencies
- Vulnerabilities
- Advanced Security
Защита репозитория
Практическое руководствоНесколько возможностей GitHub позволяют поддерживать безопасность репозитория.
- Repositories
- Dependencies
- Vulnerabilities
- Advanced Security
Сведения о проверке секретов
ОбзорGitHub сканирует репозитории на наличие известных типов секретов, чтобы предотвратить случайную фиксацию секретов.
- Secret scanning
- Advanced Security
Настройка проверки секретов в ваших репозиториях
Практическое руководствоВы можете настроить, как GitHub сканирует ваши репозитории на наличие утечки секретов и создает оповещения.
- Secret scanning
- Advanced Security
- Repositories
Определение пользовательских шаблонов для проверки секретов
Практическое руководствоВы можете расширить secret scanning для обнаружения секретов за пределами шаблонов по умолчанию.
- Advanced Security
- Secret scanning
Управление оповещениями о проверке секретов
Практическое руководствоМожно просматривать и закрывать оповещения о секретах, записанных в ваш репозиторий.
- Secret scanning
- Advanced Security
- Alerts
- Repositories
Защита отправок с помощью сканирования секретов
Практическое руководствоВы можете использовать secret scanning, чтобы предотвратить отправку поддерживаемых секретов в организацию или репозиторий, включив принудительная защита.
- Secret scanning
- Advanced Security
- Alerts
- Repositories