Code security guides
了解 GitHub 可以帮助您提高代码安全性的不同方式。
- 1概述
关于安全漏洞的协调披露
漏洞披露是安全报告者与仓库维护者之间的协调工作。 - 2概述
关于 GitHub 公告数据库
GitHub Advisory Database 包含已知安全漏洞和恶意软件的列表,分为两类:经 GitHub 审核的公告和未经审核的公告。 - 3概述
关于全局安全公告
全局安全数据库位于 GitHub Advisory Database,其中包含影响开放源代码环境的 CVE 和 GitHub 发起的安全公告。 你可以为改进全局公告做出贡献。 - 4概述
关于存储库安全公告
可以使用存储库安全公告来私下讨论、修复和发布有关存储库中安全漏洞的信息。 - 5操作指南
编写存储库安全公告的最佳做法
在创建或编辑安全公告时,使用标准格式指定生态系统、包名称和受影响的版本后,更易于其他用户理解你提供的信息。 - 6操作指南
私下报告安全漏洞
某些公共存储库配置安全公告,以便任何人都可以直接并私下向维护人员报告安全漏洞。 - 7操作指南
管理私下报告的安全漏洞
存储库维护人员可以管理由存储库安全研究人员向其私下报告的安全漏洞,这些存储库已启用了非公开漏洞报告。 - 8操作指南
为存储库配置私人漏洞报告
公共存储库的所有者和管理员可以允许安全研究人员通过启用私人漏洞报告来安全地报告存储库中的漏洞。 - 9操作指南
创建存储库安全公告
您可以创建安全通告草稿,以私下讨论和修复开源项目中的安全漏洞。 - 10操作指南
将协作者添加到存储库安全通告
您可以添加其他用户或团队与您协作处理安全通告。 - 11操作指南
在临时专用分支中协作以解决存储库安全漏洞
您可以创建临时私有复刻,以私下协作修复仓库中的安全漏洞。 - 12操作指南
发布存储库安全公告
您可以发布安全通告,向社区提醒项目中的安全漏洞。 - 13操作指南
编辑存储库安全通告
如果需要更新详细信息或更正错误,可以编辑存储库安全公告的元数据和说明。 - 14操作指南
撤销存储库安全通告
你可以撤销已发布的存储库安全公告。 - 15操作指南
删除存储库安全公告中的协作者
协作者从存储库安全公告中删除后,将失去对安全公告的讨论和元数据的读取和写入权限。
Code security learning paths
学习路径是一系列帮助你掌握特定主题的指南。
获取有关不安全依赖项的通知
设置 Dependabot 提醒你的依赖项中有新漏洞或恶意软件。
获取拉取请求以更新你的漏洞依赖项
设置 Dependabot 以在报告新漏洞时创建拉取请求。
使用 GitHub Actions 运行代码扫描
检查默认分支和每个拉取请求,以排除存储库中的漏洞和错误。
在 CI 中运行 CodeQL 代码扫描
在现有的 CI 中设置 CodeQL 并将结果上传到 GitHub 代码扫描。
All Code security guides
找到了 72 个指南
将安全策略添加到存储库
操作指南您可以为仓库添加安全政策,说明如何报告项目中的安全漏洞。
- Security policies
- Vulnerabilities
- Repositories
- Health
GitHub 安全功能
概述GitHub 安全功能概述。
- Repositories
- Dependencies
- Vulnerabilities
- Advanced Security
保护你的组织
操作指南您可以使用许多 GitHub 功能来帮助保护组织的安全。
- Organizations
- Dependencies
- Vulnerabilities
- Advanced Security
保护您的仓库
操作指南您可以使用许多 GitHub 功能来帮助保护仓库的安全。
- Repositories
- Dependencies
- Vulnerabilities
- Advanced Security
关于机密扫描
概述GitHub 扫描仓库查找已知的密码类型,以防止欺诈性使用意外提交的密码。
- Secret scanning
- Advanced Security
为存储库配置机密扫描
操作指南您可以配置 GitHub 如何扫描存储库以查找与高级安全模式匹配的机密。
- Secret scanning
- Advanced Security
- Repositories
为机密扫描定义自定义模式
操作指南您可以扩展 以检测默认模式之外的机密。
- Advanced Security
- Secret scanning
管理来自机密扫描的警报
操作指南您可以查看并关闭已检入仓库的密码的警报。
- Secret scanning
- Advanced Security
- Alerts
- Repositories
使用机密扫描保护推送
操作指南可以使用 secret scanning 通过启用推送保护,防止将支持的机密推送到 组织 或存储库中。
- Secret scanning
- Advanced Security
- Alerts
- Repositories