Сведения о функциях безопасности GitHub
В GitHub есть функции безопасности, которые помогают защитить код и секреты в репозиториях и во всех организациях. Некоторые функции доступны для репозиториев во всех планах. Для предприятий, использующих GitHub Advanced Security, доступны дополнительные функции. Функции GitHub Advanced Security включены для всех общедоступных репозиториев на сайте GitHub.com. Дополнительные сведения см. в разделе Сведения о GitHub Advanced Security.
В GitHub Advisory Database содержится проверенный список уязвимостей системы безопасности, в котором можно искать и отфильтровывать нужные элементы. Дополнительные сведения см. в разделе Просмотр рекомендаций по безопасности в базе данных рекомендаций по GitHub.
Доступно для всех репозиториев
Политика безопасности
Предоставьте пользователям простую возможность конфиденциально сообщать об уязвимостях системы безопасности, обнаруженных в репозитории. Дополнительные сведения см. в разделе Добавление политики безопасности в репозиторий.
Рекомендации по безопасности
Обсуждайте в частном порядке и устраняйте уязвимости системы безопасности в коде репозитория. Вы также можете опубликовать рекомендацию по безопасности, чтобы предупредить сообщество об уязвимости, и призвать участников сообщества обновить свой код. Дополнительные сведения см. в разделе Сведения о рекомендациях по безопасности репозитория.
Dependabot alerts обновления системы безопасности
Просматривайте оповещения о зависимостях, в которых имеются уязвимости системы безопасности, и решайте, нужно ли автоматически создавать запросы на включение внесенных изменений для обновления этих зависимостей. Дополнительные сведения см. в разделах Сведения об оповещениях Dependabot и Сведения об обновлениях для системы безопасности Dependabot.
Обновления версий Dependabot
Используйте Dependabot для автоматического создания запросов на включение внесенных изменений, чтобы поддерживать зависимости в актуальном состоянии. Это помогает снизить риски для более старых версий зависимостей. Использование более новых версий упрощает применение исправлений при обнаружении уязвимостей безопасности, а также упрощает создание запросов на включение внесенных изменений для обновления уязвимых зависимостей для Dependabot security updates. Дополнительные сведения см. в разделе Сведения об обновлениях версий Dependabot.
Граф зависимостей
Схема зависимостей позволяет изучать экосистемы и пакеты, от которых зависит ваш репозиторий, а также репозитории и пакеты, которые зависят от вашего репозитория.
Схему зависимостей можно найти на вкладке Аналитика репозитория. Дополнительные сведения см. в разделе Сведения о графе зависимостей.
Общие сведения о безопасности
Обзор безопасности позволяет просматривать конфигурации и оповещения системы безопасности, что упрощает определение репозиториев и организаций, которые подвергаются наибольшему риску. Дополнительные сведения см. в разделе Сведения об Обзоре безопасности.
Доступно для бесплатных общедоступных репозиториев
Оповещения о проверке секретов для партнеров
Автоматически обнаруживайте утечку секретов во всех общедоступных репозиториях. GitHub сообщает соответствующему поставщику услуг, что секрет может быть скомпрометирован. Дополнительные сведения о поддерживаемых секретах и поставщиках услуг см. в разделе Шаблоны сканирования секретов.
В составе GitHub Advanced Security
Многие функции GitHub Advanced Security доступны и бесплатны для общедоступных репозиториев на GitHub.com. Организации в составе предприятия с лицензией GitHub Advanced Security могут использовать указанные ниже функции во всех своих репозиториях. Дополнительные сведения см. в разделе Сведения о GitHub Advanced Security.
Code scanning
Автоматически обнаруживайте уязвимости безопасности и ошибки в новом или измененном коде. Возможные проблемы выделяются и для них приводятся подробные сведения, что позволяет исправлять код до его слияния с ветвью по умолчанию. Дополнительные сведения см. в разделе Сведения о проверке кода.
Оповещения о проверке секретов для пользователей
Автоматически обнаруживайте маркеры или учетные данные, которые были возвращены в репозиторий. Вы можете просматривать оповещения для любых секретов, которые GitHub находит в коде, на вкладке Безопасность репозитория, чтобы узнать, какие маркеры или учетные данные следует считать скомпрометируемыми. Дополнительные сведения см. в разделе "Сведения о проверке секретов".
Проверка зависимостей
Отображение полного влияния изменений на зависимости и просмотр сведений об уязвимых версиях до слияния запроса на включение внесенных изменений. Дополнительные сведения см. в разделе Сведения о проверке зависимостей.