Краткое руководство по защите репозитория

Введение

В этом руководстве показано, как настроить функции безопасности для репозитория.

У каждого репозитория свои потребности в безопасности, поэтому вам может не потребоваться включить все функции для репозитория. Дополнительные сведения см. в разделе Функции безопасности GitHub.

Некоторые функции доступны для репозитории во всех планах. Дополнительные функции доступны организациям и предприятиям, которые используют GitHub Secret Protection, GitHub Code Security, or GitHub Advanced Security. Функции GitHub Advanced Security также включены для всех общедоступных репозиториев на GitHub. Дополнительные сведения см. в разделе О GitHub Advanced Security.

Управление доступом к репозиторию

Первым шагом для защиты репозитория является определение того, кто может видеть и изменять код. Дополнительные сведения см. в разделе Управление настройками и функциями вашего репозитория.

На главной странице вашего репозитория нажмите «Настройки», затем прокрутите вниз до «Danger Zone».

• Чтобы настроить пользователей, которые могут просматривать репозиторий, выберите Изменить видимость. Дополнительные сведения см. в разделе Настройка видимости репозитория.
• Чтобы настроить пользователей, у которых есть доступ к репозиторию, и изменить разрешения, выберите Управление доступом. Дополнительные сведения см. в разделе Управление командами и пользователями с доступом к репозиторию.

Управление графом зависимостей

          Администраторы репозитория могут включить или отключить граф зависимостей для репозиториев. Граф зависимостей интерпретирует манифесты и блокировки файлов в репозитории для идентификации зависимости.

1. На главной странице вашего репозитория нажмите «Настройки».
2. Клик Advanced Security.
3. Рядом с графом зависимостей щелкните Включить или Отключить.

Дополнительные сведения см. в разделе Изучение зависимостей репозитория.

Менеджмент Dependabot alerts

          Dependabot alerts генерируются, когда GitHub определяется зависимость в графе зависимостей с уязвимостью. 
          Вы можете включить Dependabot alerts любой репозиторий.

Кроме того, можно использовать Правила автообработки зависимостей для управления оповещениями в масштабе, чтобы можно было автоматически закрыть или отклонить оповещения, а также указать, для каких оповещений требуется Dependabot для открытия запросов на вытягивание. Сведения о различных типах правил автоматической сортировки и о том, разрешены ли репозитории, см. в разделе Сведения о правилах автообработки Dependabot.

Общие сведения о различных функциях, предлагаемых Dependabot и инструкции по началу работы см. в разделе Краткое руководство по зависимостям.

1. Щелкните рисунок профиля, а затем нажмите кнопку "Параметры".
2. Клик Advanced Security.

3.        **Нажмите Включить** рядом с Dependabot alerts.
   

Для получения дополнительной информации смотрите Сведения об оповещениях Dependabot и Управление функциями безопасности и анализа.

Настройка проверки зависимостей

Проверка зависимостей позволяет визуализировать изменения зависимостей в запросах на вытягивание, прежде чем они будут объединены в репозитории. Дополнительные сведения см. в разделе Сведения о проверке зависимостей.

Проверка зависимостей — это функция GitHub Code Security . Проверка зависимостей включена для всех репозиториев с включённым графом зависимостей. Компании, которые используют GitHub Team или GitHub Enterprise Cloud с ними GitHub Code Security , также могут включать анализ зависимостей для частных и внутренних репозиториев.

Чтобы включить проверку зависимостей для репозитория, убедитесь, что граф зависимостей включен.

1. На главной странице вашего репозитория нажмите «Настройки».
2. Клик Advanced Security.
3. Справа от Code Security, нажмите Включить.
4. В разделе Code Security, проверьте, что граф зависимостей включён для репозитория.

Менеджмент Dependabot security updates

Для любого репозитория, использующего Dependabot alerts, вы можете включить Dependabot security updates возможность запускать pull requests с помощью обновлений безопасности при обнаружении уязвимостей.

1. На главной странице вашего репозитория нажмите «Настройки».
2. Клик Advanced Security.
3. Далее Dependabot security updatesнажмите Включить.

Дополнительные сведения см. в разделе [AUTOTITLE и Сведения об обновлениях для системы безопасности Dependabot](/code-security/dependabot/dependabot-security-updates/configuring-dependabot-security-updates).

Менеджмент Dependabot version updates

Вы можете автоматически Dependabot запускать pull request, чтобы ваши зависимости оставались up-to-date. Дополнительные сведения см. в разделе Сведения об обновлениях версий Dependabot.

1. На главной странице вашего репозитория нажмите «Настройки».
2. Клик Advanced Security.
3. Далее Dependabot version updatesнажмите Включить , чтобы создать базовый dependabot.yml конфигурационный файл.
4. Укажите зависимости для обновления и любых связанных параметров конфигурации, а затем зафиксируйте файл в репозиторий. Дополнительные сведения см. в разделе Настройка обновлений версий Dependabot.

Настройка Code Security

          Code Security Функции доступны для всех публичных репозиториев, а также для частных репозиториев, принадлежащих организациям, входящим в состав команды или предприятия, использующего GitHub Code Security или GitHub Advanced Security.

          GitHub Code Security
          code scanningвключает , CodeQL CLI и Автофикс второго пилота, а также другие функции, которые находят и исправляют уязвимости в вашей кодовой базе.

Вы можете настроить code scanning автоматическое выявление уязвимостей и ошибок в коде, хранящемся в вашем репозитории, с помощью Рабочий процесс анализа CodeQL инструмента или стороннего инструмента. В зависимости от языков программирования в вашем репозитории, вы можете настроить code scanning по CodeQL умолчанию, GitHub которая автоматически определяет языки для сканирования, наборы запросов для запуска и события, которые запускают новое сканирование. Дополнительные сведения см. в разделе Настройка настройки по умолчанию для сканирования кода.

1. На главной странице вашего репозитория нажмите «Настройки».
2. В разделе «Безопасность» боковой панели нажмите Advanced Security.
3. Если «Code Security» или «GitHub Advanced Security» ещё не включены, нажмите «Включить».
4. Справа от «CodeQL analysis» выберите «Настройка», затем нажмите «По умолчанию».
5. В всплывающем окне просмотрите настройки настройки репозитория по умолчанию, затем нажмите Включить CodeQL.
6. Выберите, хотите ли вы включить функции добавления, такие Автофикс второго пилотакак .

В качестве альтернативы стандартной настройке можно использовать расширенную конфигурацию, которая генерирует файл рабочего процесса, который можно редактировать для настройки code scanning с CodeQLпомощью . Дополнительные сведения см. в разделе Настройка расширенной настройки для сканирования кода.

Настройка Secret Protection

          Secret Protection Функции доступны для всех публичных репозиториев, а также для частных репозиториев, принадлежащих организациям, входящим в состав команды или предприятия, использующего GitHub Secret Protection или GitHub Advanced Security.

          GitHub Secret Protection Включает secret scanning защиту от push, а также другие функции, которые помогают обнаруживать и предотвращать секретные утечки в вашем репозитории.

1. На главной странице вашего репозитория нажмите «Настройки».
2. Клик Advanced Security.
3. Если «Secret Protection» или «GitHub Advanced Security» ещё не включены, нажмите «Включить».
4. Если отображается опция «Secret scanning» — нажмите «Включить».
5. Выбирайте, хотите ли вы включать дополнительные функции, такие как сканирование на наличие шаблонов, не связанных с провайдером, и защита от push-файлов.

Настройка политики безопасности

Если вы являетесь ответственный за репозиторий, рекомендуется указать политику безопасности для репозитория, создав файл с именем SECURITY.md в репозитории. Этот файл указывает пользователям, как лучше связаться с вами и сотрудничать с вами, когда они хотят сообщить об уязвимостях безопасности в репозитории. Вы можете просмотреть политику безопасности репозитория во вкладке репозитория Security and quality .

1. На главной странице вашего репозитория нажмите Security and quality.
2. В левой боковой панели, в разделе «Отчётность», нажмите «Политика».
3. Нажмите кнопку Запуск установки.
4. Добавьте сведения о поддерживаемых версиях проекта и о том, как сообщить об уязвимости.

Дополнительные сведения см. в разделе Добавление политики безопасности в репозиторий.

Следующие шаги

Вы можете просматривать оповещения функций безопасности и управлять ими для обработки зависимостей и уязвимостей в коде. Дополнительные сведения см. в разделе AUTOTITLE, AUTOTITLE, [AUTOTITLE и Управление запросами на вытягивание для обновлений зависимостей](/code-security/code-scanning/managing-code-scanning-alerts/assessing-code-scanning-alerts-for-your-repository).

Вы также можете использовать GitHubинструменты для аудита ответов на оповещения безопасности. Дополнительные сведения см. в разделе Аудит оповещений системы безопасности.

          Если у вас есть уязвимость безопасности в публичном репозитории, вы можете создать советник по безопасности, чтобы приватно обсудить и исправить эту уязвимость. Дополнительные сведения см. в разделе [AUTOTITLE и [AUTOTITLE](/code-security/security-advisories/working-with-repository-security-advisories/about-repository-security-advisories)](/code-security/security-advisories/working-with-repository-security-advisories/creating-a-repository-security-advisory).

Если вы используете GitHub Actions, можно использовать функции безопасности GitHub, чтобы повысить безопасность рабочих процессов. Дополнительные сведения см. в разделе Справочник по безопасному использованию.