Защита репозитория

Введение

В этом руководстве показано, как настроить функции безопасности для репозитория. Чтобы настроить параметры безопасности для репозитория, необходимо быть администратором репозитория или владельцем организации.

У каждого репозитория свои потребности в безопасности, поэтому вам может не потребоваться включить все функции для репозитория. Дополнительные сведения см. в разделе Функции безопасности GitHub.

Некоторые функции доступны для всех репозиториев. Для предприятий, использующих GitHub Advanced Security, доступны дополнительные функции. Дополнительные сведения см. в разделе Сведения о GitHub Advanced Security.

Управление доступом к репозиторию

Первым шагом к обеспечению безопасности репозитория является определение пользователей, которые могут просматривать и изменять код. Дополнительные сведения см. в разделе Управление параметрами и функциями репозитория.

На странице main репозитория щелкните Settings (Параметры шестеренки) %}, а затем прокрутите страницу вниз до раздела "Зона опасности".

• Чтобы настроить пользователей, которые могут просматривать репозиторий, выберите Изменить видимость. Дополнительные сведения см. в разделе Настройка видимости репозитория.
• Чтобы настроить пользователей, у которых есть доступ к репозиторию, и изменить разрешения, выберите Управление доступом. Дополнительные сведения см. в разделе Управление командами и пользователями с доступом к репозиторию.

Управление графом зависимостей

Владельцы предприятия могут настроить граф зависимостей и Dependabot alerts для предприятия. Дополнительные сведения см. в разделах "AUTOTITLE" и "Включение Dependabot для предприятия".

Дополнительные сведения см. в разделе Изучение зависимостей репозитория.

Управление Dependabot alerts

Dependabot alerts создаются, когда GitHub выявляет зависимость в графе зависимостей с уязвимостью.

Владельцы предприятия могут настроить граф зависимостей и Dependabot alerts для предприятия. Дополнительные сведения см. в разделах "AUTOTITLE" и "Включение Dependabot для предприятия".

Дополнительные сведения см. в разделах Сведения об оповещениях Dependabot.

Настройка проверки зависимостей

Проверка зависимостей позволяет визуализировать изменения зависимостей в запросах на вытягивание, прежде чем они будут объединены в репозитории. Дополнительные сведения см. в разделе Сведения о проверке зависимостей.

Проверка зависимостей — это функция GitHub Advanced Security. Чтобы включить проверку зависимостей для репозитория, убедитесь, что включен граф зависимостей, и включите GitHub Advanced Security.

1. На главной странице репозитория щелкните Параметры.
2. Выберите Безопасность и анализ.
3. Убедитесь, что граф зависимостей настроен для вашего предприятия.
4. Если функция GitHub Advanced Security не включена, нажмите кнопку Включить.

Управление функцией "Dependabot security updates"

Для любого репозитория, в котором используются Dependabot alerts, можно включить Dependabot security updates для создания запросов на включение внесенных изменений с обновлениями безопасности при обнаружении уязвимостей.

1. На главной странице репозитория щелкните Параметры.
2. Выберите Безопасность и анализ.
3. Рядом с пунктом "Dependabot security updates" щелкните Включить.

Дополнительные сведения см. в разделах Сведения об обновлениях для системы безопасности Dependabot и Настройка обновлений для системы безопасности Dependabot.

Управление функцией "Dependabot version updates"

Можно включить Dependabot для автоматического создания запросов на включение внесенных изменений, чтобы поддерживать зависимости в актуальном состоянии. Дополнительные сведения см. в разделе Сведения об обновлениях версий Dependabot.

Чтобы включить Dependabot version updates, необходимо создать файл конфигурации dependabot.yml. Дополнительные сведения см. в разделе Настройка обновлений версий Dependabot.

Настройка функции "code scanning"

Вы можете настроить code scanning для автоматического обнаружения уязвимостей и ошибок в коде, хранящейся в репозитории, с помощью Рабочий процесс анализа CodeQL или стороннего средства. Дополнительные сведения см. в разделе Настройка проверки кода для репозитория.

Code scanning доступен , для принадлежащих организации репозиториев, если ваше предприятие использует GitHub Advanced Security.

Настройка функции "secret scanning"

Secret scanning доступен для принадлежащих организации репозиториев в GitHub Enterprise Server, если у предприятия есть лицензия для GitHub Advanced Security. Дополнительные сведения см. в разделах "Сведения о проверке секретов" и "Сведения о GitHub Advanced Security".

1. На главной странице репозитория щелкните Параметры.

2. Щелкните Анализ & безопасности кода.

3. Если GitHub Advanced Security еще не включен, нажмите кнопку Включить.

4. Рядом с Secret scanning нажмите Включить.

Настройка политики безопасности

Если вы являетесь ответственный за репозиторий, рекомендуется указать политику безопасности для репозитория, создав в репозитории файл с именем SECURITY.md. Этот файл содержит инструкции пользователям о том, как лучше всего связаться с вами и сотрудничать с вами, когда они хотят сообщить об уязвимостях системы безопасности в репозитории. Политику безопасности репозитория можно просмотреть на вкладке Безопасность репозитория.

1. На главной странице репозитория щелкните Безопасность.
2. Выберите Политика безопасности.
3. Нажмите кнопку Запуск установки.
4. Добавьте сведения о поддерживаемых версиях проекта и о том, как сообщить об уязвимости.

Дополнительные сведения см. в разделе Добавление политики безопасности в репозиторий.

Дальнейшие действия

Вы можете просматривать оповещения функций безопасности и управлять ими для обработки зависимостей и уязвимостей в коде. Дополнительные сведения см. в разделе "Просмотр и обновление оповещений Dependabot," "Управление запросами на вытягивание для обновлений зависимостей", "Управление оповещениями проверки кода для репозитория" и "Управление оповещениями о проверке секретов".

Вы также можете использовать средства GitHubдля аудита ответов на оповещения системы безопасности. Дополнительные сведения см. в разделе Аудит оповещений системы безопасности.