Code security guides
Сведения о том, как GitHub Enterprise Cloud помогает улучшить безопасность кода.
Исправление и раскрытие уязвимости системы безопасности
Использование рекомендаций по безопасности репозитория для частного устранения сообщаемой уязвимости и получения CVE.Начать прохождение схемы обучения- 1Обзор
Сведения о скоординированном раскрытии информации об уязвимостях безопасности
Раскрытие информации об уязвимостях требует скоординированной работы специалистов по безопасности и специалистами по обслуживанию репозиториев. - 2Обзор
Сведения о базе данных рекомендаций GitHub
GitHub Advisory Database содержит список известных уязвимостей системы безопасности и вредоносных программ, разделенный на две категории: проверенные в GitHub и непроверенные рекомендации. - 3Обзор
Сведения о глобальных рекомендациях по безопасности
Глобальные рекомендации по безопасности живут в GitHub Advisory Database, коллекции CVEs и GitHub, которые влияют на открытый код мир. Вы можете внести свой вклад в улучшение глобальных рекомендаций по безопасности. - 4Обзор
Сведения о рекомендациях по безопасности репозитория
С помощью рекомендаций по безопасности репозитория можно в частном порядке обсуждать, исправлять и публиковать сведения об уязвимостях системы безопасности в репозитории. - 5Практическое руководство
Рекомендации по написанию рекомендаций по безопасности репозитория
При создании или изменении рекомендаций по безопасности другие пользователи могут легко понять, когда вы указываете экосистему, имя пакета и затронутые версии с помощью стандартных форматов. - 6Практическое руководство
Конфиденциальное сообщение об уязвимости системы безопасности
Некоторые общедоступные репозитории настраивают рекомендации по безопасности, чтобы любой пользователь мог напрямую и в частном порядке сообщать об уязвимостях системы безопасности. - 7Практическое руководство
Управление обнаруженными в частном порядке уязвимостями системы безопасности
Хранители репозиториев могут управлять уязвимостями системы безопасности, о которых им сообщили частные службы безопасности для репозиториев, в которых включены частные отчеты об уязвимостях. - 8Практическое руководство
Настройка частных отчетов об уязвимостях для репозитория
Владельцы и администраторы общедоступных репозиториев могут разрешить исследователям безопасности безопасно сообщать об уязвимостях в репозитории, включив частные отчеты об уязвимостях. - 9Практическое руководство
Настройка частных отчетов об уязвимостях для организации
Владельцы организации и менеджеры по безопасности могут позволить исследователям безопасности безопасно сообщать об уязвимостях в репозиториях в организации, включив частные отчеты об уязвимостях для всех ее общедоступных репозиториев. - 10Практическое руководство
Создание рекомендаций по безопасности репозитория
Вы можете создать проект рекомендаций по безопасности для частного обсуждения и устранения уязвимости безопасности в проекте разработки ПО с открытым кодом. - 11Практическое руководство
Добавление участника совместной работы в рекомендации по безопасности репозитория
Вы можете добавить других пользователей или команды для совместной работы по вопросам безопасности. - 12Практическое руководство
Совместная работа во временной частной вилке для устранения уязвимостей безопасности репозитория
Вы можете создать временную частную вилку для частной совместной работы по устранению уязвимостей безопасности в репозитории. - 13Практическое руководство
Публикация рекомендаций по безопасности репозитория
Вы можете опубликовать рекомендации по безопасности, чтобы информировать сообщество об уязвимости безопасности в проекте. - 14Практическое руководство
Пользователи с разрешениями администратора в отношении рекомендаций по безопасности репозитория изменять эти рекомендации.
Примечание. Сведения в этой статье применимы к редактированию рекомендаций на уровне репозитория с правами владельца репозитория. Пользователи, которые не являются владельцами репозитория, могут делать вклад в глобальные рекомендации по безопасности в GitHub Advisory Database на сайте github.com/advisories. Правки в глобальных рекомендациях не изменяют и не влияют на параметры отображения рекомендаций в репозитории. Дополнительные сведения см. в разделе Изменение рекомендаций по безопасности в базе данных рекомендаций по GitHub. - 15Практическое руководство
Отзыв рекомендаций по безопасности репозитория
Вы можете отозвать опубликованные рекомендации по безопасности репозитория. - 16Практическое руководство
Удаление участника совместной работы из рекомендаций по безопасности репозитория
При удалении участника совместной работы из рекомендаций по безопасности для репозитория этот участник потеряет доступ на чтение и запись к обсуждению и метаданным рекомендаций по безопасности.
Code security learning paths
Получение уведомлений о небезопасных зависимостях
Настройте Dependabot для оповещения о новых уязвимостях или вредоносных программ в зависимостях.
Получение запросов на вытягивание для обновления уязвимых зависимостей
Настройте Dependabot для создания запросов на вытягивание при появлении новых уязвимостей.
Поддержание актуальности зависимостей
Используйте Dependabot для проверки новых выпусков и создания запросов на вытягивание для обновления зависимостей.
Изучение оповещений системы безопасности и управление ими
Узнайте, где найти и разрешить оповещения системы безопасности.
Проверка секретов
Настройте проверку секретов, чтобы защититься от случайного возврата маркеров, паролей и других секретов в репозиторий.
Выполнение проверки кода с помощью GitHub Actions
Проверьте ветвь по умолчанию и каждый запрос на вытягивание, чтобы не допустить уязвимостей и ошибок в репозитории.
Выполнение проверки кода CodeQL в CI
Настройте CodeQL в существующей CI и отправьте результаты в проверку кода GitHub.
Интеграция с сканированием кода
Отправьте результаты анализа кода из сторонних систем в GitHub с помощью SARIF.
Сквозная цепочка поставок
Как подумать о защите учетных записей пользователей, кода и процесса сборки.
All Code security guides
Добавление политики безопасности в репозиторий
Практическое руководствоВы можете предоставить инструкции по информированию об уязвимостях безопасности в проекте, добавив политику безопасности в репозиторий.
- Security policies
- Vulnerabilities
- Repositories
- Health
Функции безопасности GitHub
ОбзорОбзор функций безопасности GitHub.
- Repositories
- Dependencies
- Vulnerabilities
- Advanced Security
Защита вашей организации
Практическое руководствоНесколько возможностей GitHub позволяют поддерживать безопасность организации.
- Organizations
- Dependencies
- Vulnerabilities
- Advanced Security
Защита репозитория
Практическое руководствоНесколько возможностей GitHub позволяют поддерживать безопасность репозитория.
- Repositories
- Dependencies
- Vulnerabilities
- Advanced Security
Аудит оповещений системы безопасности
ОбзорGitHub предоставляет различные средства, которые можно использовать для аудита и мониторинга действий, выполняемых в ответ на оповещения системы безопасности.
- Repositories
- Dependencies
- Vulnerabilities
- Security
- Advanced Security
Сведения о проверке секретов
ОбзорGitHub Enterprise Cloud сканирует репозитории на наличие известных типов секретов, чтобы предотвратить случайную фиксацию секретов.
- Secret scanning
- Advanced Security
Настройка проверки секретов в ваших репозиториях
Практическое руководствоВы можете настроить, как GitHub сканирует ваши репозитории на наличие утечки секретов и создает оповещения.
- Secret scanning
- Advanced Security
- Repositories
Определение пользовательских шаблонов для проверки секретов
Практическое руководствоВы можете расширить secret scanning для обнаружения секретов за пределами шаблонов по умолчанию.
- Advanced Security
- Secret scanning
Управление оповещениями о проверке секретов
Практическое руководствоМожно просматривать и закрывать оповещения о секретах, записанных в ваш репозиторий.
- Secret scanning
- Advanced Security
- Alerts
- Repositories