Skip to main content
Мы публикуем частые обновления нашей документации, и перевод этой страницы, возможно, еще выполняется. Актуальные сведения см. в документации на английском языке.
В настоящее время GitHub AE находится в ограниченном выпуске.
All products
Безопасность кода

Защита репозитория

В этой статье

Несколько возможностей GitHub позволяют поддерживать безопасность репозитория.

Кто может использовать эту функцию

Repository administrators and organization owners can configure repository security settings.

Введение

В этом руководстве показано, как настроить функции безопасности для репозитория. Чтобы настроить параметры безопасности для репозитория, необходимо быть администратором репозитория или владельцем организации.

У каждого репозитория свои потребности в безопасности, поэтому вам может не потребоваться включить все функции для репозитория. Дополнительные сведения см. в разделе Функции безопасности GitHub.

Некоторые функции доступны для всех репозиториев. Для предприятий, использующих GitHub Advanced Security, доступны дополнительные функции. Дополнительные сведения см. в разделе Сведения о GitHub Advanced Security.

Управление доступом к репозиторию

Первым шагом к защите репозитория является определение пользователей, которые могут просматривать и изменять код. Дополнительные сведения см. в разделе Управление параметрами и функциями репозитория.

На главной странице репозитория щелкните Параметры, а затем прокрутите вниз до "Зона опасности".

Управление графом зависимостей

Владельцы предприятия могут настроить Dependabot alerts для предприятия. Дополнительные сведения см. в разделах "Включение Dependabot для предприятия".

Дополнительные сведения см. в разделе Изучение зависимостей репозитория.

Управление Dependabot alerts

Dependabot alerts создаются, когда GitHub выявляет зависимость в графе зависимостей с уязвимостью.

Примечание. Dependabot alerts в настоящее время доступен в бета-версии и может быть изменен.

Владельцы предприятия могут настроить Dependabot alerts для предприятия. Дополнительные сведения см. в разделах "[AUTOTITLE](/admin/configuration/configuring-github-connect/enabling-dependabot-for-your-enterprise)".

Дополнительные сведения см. в разделах Сведения об оповещениях Dependabot.

Настройка проверки зависимостей

Проверка зависимостей позволяет визуализировать изменения зависимостей в запросах на вытягивание, прежде чем они будут объединены в репозитории. Дополнительные сведения см. в разделе Сведения о проверке зависимостей.

Проверка зависимостей — это функция GitHub Advanced Security. Чтобы включить проверку зависимостей для репозитория, убедитесь, что включен граф зависимостей, и включите GitHub Advanced Security.

  1. На главной странице репозитория щелкните Параметры.
  2. Выберите Безопасность и анализ.
  3. Убедитесь, что граф зависимостей настроен для вашего предприятия.
  4. Если функция GitHub Advanced Security не включена, нажмите кнопку Включить.

Настройка функции "code scanning"

Вы можете настроить code scanning для автоматического обнаружения уязвимостей и ошибок в коде, хранящейся в репозитории, с помощью Рабочий процесс анализа CodeQL или стороннего средства. Дополнительные сведения см. в разделе Настройка проверки кода для репозитория.

Code scanning доступен , для репозиториев, принадлежащих организации, если ваше предприятие использует GitHub Advanced Security.

Настройка функции "secret scanning"

Secret scanning доступно для принадлежащих организации репозиториев в GitHub AE. Это функция входит в состав GitHub Advanced Security (на этапе бета-версии предоставляется бесплатно).

  1. На главной странице репозитория щелкните Параметры.

  2. Щелкните Анализ & безопасности кода.

  3. Если GitHub Advanced Security еще не включен, нажмите кнопку Включить.

  4. Рядом с Secret scanning нажмите Включить.

Настройка политики безопасности

Если вы являетесь обслуживаемым репозиторием, рекомендуется указать политику безопасности для репозитория, создав файл с именем SECURITY.md в репозитории. Этот файл содержит инструкции пользователям о том, как лучше всего связаться с вами и сотрудничать с вами, когда они хотят сообщить об уязвимостях системы безопасности в репозитории. Политику безопасности репозитория можно просмотреть на вкладке Безопасность репозитория.

  1. На главной странице репозитория щелкните Безопасность.
  2. Выберите Политика безопасности.
  3. Нажмите кнопку Запуск установки.
  4. Добавьте сведения о поддерживаемых версиях проекта и о том, как сообщить об уязвимости.

Дополнительные сведения см. в разделе Добавление политики безопасности в репозиторий.

Дальнейшие действия

Вы можете просматривать оповещения функций безопасности и управлять ими для обработки зависимостей и уязвимостей в коде. Дополнительные сведения см. в разделе "Управление оповещениями проверки кода для репозитория" и "Управление оповещениями о проверке секретов".

Вы также можете использовать средства GitHub для аудита ответов на оповещения системы безопасности. Дополнительные сведения см. в разделе Аудит оповещений системы безопасности.