Skip to main content

存储库最佳做法

了解如何安全有效地使用存储库。

创建 README 文件

为了便于用户理解和导航你的工作,建议为每个存储库创建一个 README 文件。

您可以将 README 文件添加到仓库来交流有关您项目的重要信息。 自述文件以及存储库许可证、引文文件、贡献指南、行为准则传达了对项目的期望,并有助于管理贡献。 有关详细信息,请参阅“关于自述文件”。

保护存储库

应使用 GitHub 的可用安全功能来保护存储库,以保护代码免于漏洞、未经授权的访问和其他潜在安全威胁的影响。 至少应启用以下功能,这些功能对于公共存储库是免费的****:

  • “Dependabot alerts”通知你项目依赖项网络中的安全漏洞,使你可以将受影响的依赖项更新为更安全的版本****。
  • “Secret scanning”扫描存储库中的机密(例如 API 密钥和令牌),并在发现机密时向你发出警报,使你可以从存储库中删除该机密****。
  • “推送保护”**** 通过阻止包含受支持的机密的推送,从一开始就阻止你(和你的协作者)将机密引入存储库。
  • “Code scanning”识别存储库代码中的漏洞和错误,使你可以尽早修复这些问题,并防止漏洞或错误被恶意参与者所利用漏****。

此外,还可以考虑:

  • 向存储库添加一个 SECURITY.md 文件。 SECURITY.md 文件向协作者提供了有关如何报告在项目中发现的安全漏洞的说明,并鼓励负责任的披露。
  • 为存储库启用“专用漏洞报告”,这使协作者和安全研究人员可以私下向你披露在存储库中发现的漏洞。

有关详细信息,请参阅“保护存储库快速入门”。

优选分支而不是分叉

为了简化协作,建议常规协作者从单个存储库工作,在分支之间而不是存储库之间创建拉取请求。 分叉最适合接受与项目无关的人员(如开源参与者)的贡献。

若要在使用分支工作流时保持重要分支(如 main)的质量,可以使用受保护的分支进行所需的状态检查和拉取请求评审。 有关详细信息,请参阅“关于受保护分支”。

使用 Git Large File Storage

为了优化性能,GitHub 会限制存储库中允许的文件大小。 有关详细信息,请参阅“关于 GitHub 上的大文件”。

若要跟踪 Git 存储库中的大型文件,建议使用 Git Large File Storage (Git LFS)。 有关详细信息,请参阅“关于 Git Large File Storage”。