在你的 GitHub 工作流中建立安全与功能,以使你的代码库中不含秘密和漏洞。
您可以使用许多 GitHub 功能来帮助保护仓库的安全。
您可以使用许多 GitHub 功能来帮助保护组织的安全。
可以为存储库配置 code scanning 以查找代码中的安全漏洞。
Microsoft 开源仓库中 CodeQL 操作的代码扫描工作流示例。
受信任的 AI 仓库中 CodeQL 操作的代码扫描工作流示例。
示例安全策略
Rails 针对 CVE-2020-15169 发布的安全通告。
可以配置 GitHub 如何扫描存储库中遭到泄露的机密并生成警报。
您可以将 SARIF 文件从第三方静态分析工具上传到 GitHub,并且在仓库中看到 code scanning 来自这些工具的警报。
您可以在现有 CI 系统中运行 CodeQL 分析,并将结果上传到 GitHub AE 以显示为 code scanning 警报。
介绍关于完整的端到端供应链安全性(包括个人帐户、代码和生成过程)的最佳做法指南。