关于 GitHub 安全功能
GitHub 具有安全功能,有助于在仓库和组织间保持代码和秘密安全。 某些功能可用于 所有计划中的存储库。 使用 GitHub Advanced Security 的企业可以使用其他功能。 GitHub Advanced Security 功能也针对 GitHub.com 上的所有公共存储库启用。 有关详细信息,请参阅“关于 GitHub 高级安全性”。
GitHub Advisory Database 包含您可以查看、搜索和过滤的安全漏洞列表。 有关详细信息,请参阅“在 GitHub Advisory Database 中浏览安全公告”。
适用于所有仓库
安全策略
让您的用户能够轻松地秘密报告他们在仓库中发现的安全漏洞。 有关详细信息,请参阅“将安全策略添加到存储库”。
安全通知
私下讨论并修复仓库代码中的安全漏洞。 然后,您可以发布安全通告,提醒您的社区注意漏洞并鼓励社区成员升级。 有关详细信息,请参阅“关于存储库安全公告”。
Dependabot alerts 和安全更新
查看有关已知包含安全漏洞的依赖项的警报,并选择是否自动生成拉取请求以更新这些依赖项。 有关详细信息,请参阅“关于 Dependabot 警报”和“关于 Dependabot 安全更新”。
可以使用由 GitHub 策展的默认 Dependabot 自动分类规则 自动筛选掉大量误报。 Dismiss low impact issues for development-scoped dependencies 是 GitHub 预设规则。 此规则会自动消除在开发中使用的 npm 依赖项中发现的某些类型的漏洞。 该规则经过特选,以减少误报并减少警报疲劳。 默认情况下,将为公共存储库启用该规则,也可以为专用存储库选择启用该规则。 但是,不能修改 GitHub 预设。 有关详细信息,请参阅“使用 GitHub 预设规则确定 Dependabot 警报的优先级”。
有关 Dependabot 提供的不同功能的概述以及如何入门的说明,请参阅“Dependabot 快速入门指南”。
Dependabot version updates
使用 Dependabot 自动提出拉取请求以保持依赖项的更新。 这有助于减少您暴露于旧版本依赖项。 如果发现安全漏洞,使用更新后的版本就更容易打补丁,Dependabot security updates 也更容易成功地提出拉取请求以升级有漏洞的依赖项。 还可以自定义 Dependabot version updates 以简化其在存储库中的集成。 有关详细信息,请参阅“关于 Dependabot 版本更新”。
依赖关系图
依赖关系图允许您探索仓库所依赖的生态系统和包,以及依赖于您的仓库的仓库和包。
你可以在存储库的“见解”选项卡上找到依赖项关系图。 有关详细信息,请参阅“关于依赖关系图”。
如果至少具有对存储库的读取访问权限,则可以通过 GitHub UI 或 GitHub REST API,将存储库的依赖项关系图导出为与 SPDX 兼容的软件物料清单 (SBOM)。 有关详细信息,请参阅“导出存储库的软件物料清单”。
存储库的安全概述
安全概述显示为存储库启用了哪些安全功能,并使你可以配置尚未启用的任何可用安全功能。
可用于免费的公共存储库
用户的机密扫描警报
自动检测已签入公共存储库的令牌或凭证。 可在存储库的“安全性”选项卡中查看代码中 GitHub 发现的任何机密的警报,以便知道哪些令牌或凭据被视为已泄露。 有关详细信息,请参阅“关于机密扫描”。
用户的推送保护
无论存储库本身是否启用了 secret scanning,用户的推送保护都会自动防止意外将机密提交到公共存储库。 默认情况下,用户的推送保护处于开启状态,但可以随时通过个人帐户设置禁用该功能。 有关详细信息,请参阅“用户的推送保护”。
合作伙伴的机密扫描警报
自动检测所有公共存储库和公共 npm 包中泄露的机密。 GitHub 通知相关服务提供商机密可能已泄露。 有关支持的机密和服务提供商的详细信息,请参阅“机密扫描模式”。
通过 GitHub Advanced Security 可用
GitHub.com 上的公共存储库免费提供以下 GitHub Advanced Security 功能。 使用具有 GitHub Advanced Security 许可证的 GitHub Enterprise Cloud 的组织可以在其任何存储库中使用完整的功能集。 有关 GitHub Enterprise Cloud 可用功能的列表,请参阅 GitHub Enterprise Cloud 文档。
有关如何使用 GitHub Advanced Security 免费试用 GitHub Enterprise 的信息,请参阅 GitHub Enterprise Cloud 文档中的“设置 GitHub Enterprise Cloud 试用版”和“安装 GitHub Advanced Security 试用版”。
Code scanning
自动检测新代码或修改代码中的安全漏洞和编码错误。 潜在的问题被高亮显示,并附有详细信息,允许您在将代码合并到默认分支之前修复它。 有关详细信息,请参阅“关于代码扫描”。
用户的机密扫描警报
自动检测已签入存储库的令牌或凭据。 可在存储库的“安全性”选项卡中查看代码中 GitHub 发现的任何机密的警报,以便知道哪些令牌或凭据被视为已泄露。 有关详细信息,请参阅“关于机密扫描”。
自定义自动分类规则
帮助你大规模管理 Dependabot alerts 通过 自定义自动分类规则,可以控制要忽略、暂停或触发 Dependabot 安全更新的警报。 有关详细信息,请参阅“关于 Dependabot 警报”和“自定义自动分类规则以确定 Dependabot 警报的优先级”。
依赖项检查
在合并拉取请求之前显示依赖项更改的全部影响以及任何有漏洞版本的详情。 有关详细信息,请参阅“关于依赖项评审”。