Code security guides
Сведения о том, как GitHub помогает улучшить безопасность кода.
Исправление уязвимости системы безопасности и раскрытие сведений о ней
Использование рекомендаций по безопасности репозитория для не выпущенного официально исправления уязвимости и получения CVE.Начало схемы обучения- 1Обзор
Сведения о скоординированном раскрытии информации об уязвимостях безопасности
Раскрытие информации об уязвимостях требует скоординированной работы специалистов по безопасности и специалистами по обслуживанию репозиториев. - 2Обзор
Сведения о базе данных рекомендаций GitHub
GitHub Advisory Database содержит список известных уязвимостей системы безопасности и вредоносных программ, разделенный на две категории: проверенные в GitHub и непроверенные рекомендации. - 3Обзор
Сведения о глобальных рекомендациях по безопасности
Глобальная база данных безопасности находится в GitHub Advisory Database, которая содержит cvEs и рекомендации по безопасности, инициированные GitHub, влияющие на открытый код мире. Вы можете внести свой вклад в улучшение глобальных рекомендаций. - 4Обзор
Сведения о рекомендациях по безопасности репозитория
С помощью рекомендаций по безопасности репозитория можно в частном порядке обсуждать, исправлять и публиковать сведения об уязвимостях системы безопасности в репозитории. - 5Практическое руководство
Рекомендации по написанию рекомендаций по безопасности репозитория
При создании или изменении рекомендаций по безопасности другие пользователи могут легко понять, когда вы указываете экосистему, имя пакета и затронутые версии с помощью стандартных форматов. - 6Практическое руководство
Конфиденциальное сообщение об уязвимости системы безопасности
Некоторые общедоступные репозитории настраивают рекомендации по безопасности, чтобы любой пользователь мог напрямую и в частном порядке сообщать об уязвимостях системы безопасности. - 7Практическое руководство
Управление обнаруженными в частном порядке уязвимостями системы безопасности
Хранители репозиториев могут управлять уязвимостями системы безопасности, о которых им сообщили частные службы безопасности для репозиториев, в которых включены частные отчеты об уязвимостях. - 8Практическое руководство
Настройка частных отчетов об уязвимостях для репозитория
Владельцы и администраторы общедоступных репозиториев могут позволить исследователям безопасности безопасно сообщать об уязвимостях в репозитории, включив частные отчеты об уязвимостях. - 9Практическое руководство
Создание рекомендаций по безопасности репозитория
Вы можете создать проект рекомендаций по безопасности для частного обсуждения и устранения уязвимости безопасности в проекте разработки ПО с открытым кодом. - 10Практическое руководство
Добавление участника совместной работы в рекомендации по безопасности репозитория
Вы можете добавить других пользователей или команды для совместной работы по вопросам безопасности. - 11Практическое руководство
Совместная работа во временной частной вилке для устранения уязвимостей безопасности репозитория
Вы можете создать временную частную вилку для частной совместной работы по устранению уязвимостей безопасности в репозитории. - 12Практическое руководство
Публикация рекомендаций по безопасности репозитория
Вы можете опубликовать рекомендации по безопасности, чтобы информировать сообщество об уязвимости безопасности в проекте. - 13Практическое руководство
Изменение рекомендаций по безопасности репозитория
Вы можете изменить метаданные и описание рекомендаций по обеспечению безопасности репозитория, если необходимо обновить сведения или исправить ошибки. - 14Практическое руководство
Отзыв рекомендаций по безопасности репозитория
Вы можете отозвать опубликованные рекомендации по безопасности репозитория. - 15Практическое руководство
Удаление участника совместной работы из рекомендаций по безопасности репозитория
При удалении участника совместной работы из рекомендаций по безопасности для репозитория этот участник потеряет доступ на чтение и запись к обсуждению и метаданным рекомендаций по безопасности.
Code security learning paths
Получение уведомлений о небезопасных зависимостях
Настройте Dependabot для оповещения о новых уязвимостях или вредоносных программах в своих зависимостях.
Получение запросов на вытягивание для обновления уязвимых зависимостей
Настройте Dependabot для создания запросов на вытягивание при получении отчета о новых уязвимостях.
Не забывайте обновлять свои зависимости
Используйте Dependabot, чтобы проверить наличие новых выпусков и создать запросы на вытягивание для обновления зависимостей.
Сканирование на наличие секретов
Настройте сканирование на наличие секретов для защиты от случайного возврата токенов, паролей и других секретов в репозиторий.
Сканирование кода с помощью GitHub Actions
Проверьте свою ветвь по умолчанию и каждый запрос на вытягивание, чтобы защитить репозиторий от уязвимостей и ошибок.
Сканирование кода CodeQL в CI
Настройте CodeQL в существующей CI и передайте результаты в сканирование кода GitHub.
Интеграция со сканированием кода
Передайте результаты анализа кода из сторонних систем в GitHub с помощью SARIF.
Сквозная цепочка поставок
Что важно учесть для защиты учетных записей пользователей, кода и процесса сборки.
All Code security guides
Добавление политики безопасности в репозиторий
Практическое руководствоВы можете предоставить инструкции по информированию об уязвимостях безопасности в проекте, добавив политику безопасности в репозиторий.
- Security policies
- Vulnerabilities
- Repositories
- Health
Функции безопасности GitHub
ОбзорОбзор функций безопасности GitHub.
- Repositories
- Dependencies
- Vulnerabilities
- Advanced Security
Защита вашей организации
Практическое руководствоНесколько возможностей GitHub позволяют поддерживать безопасность организации.
- Organizations
- Dependencies
- Vulnerabilities
- Advanced Security
Защита репозитория
Практическое руководствоНесколько возможностей GitHub позволяют поддерживать безопасность репозитория.
- Repositories
- Dependencies
- Vulnerabilities
- Advanced Security
Сведения о проверке секретов
ОбзорGitHub сканирует репозитории на наличие известных типов секретов, чтобы предотвратить случайную фиксацию секретов.
- Secret scanning
- Advanced Security
Настройка проверки секретов в ваших репозиториях
Практическое руководствоВы можете настроить поведение GitHub при поиске в репозитории секретов, соответствующих расширенным шаблонам безопасности.
- Secret scanning
- Advanced Security
- Repositories
Определение пользовательских шаблонов для проверки секретов
Практическое руководствоВы можете расширить , чтобы обнаруживать секреты в других форматах, кроме стандартных вариантов.
- Advanced Security
- Secret scanning
Управление оповещениями о проверке секретов
Практическое руководствоМожно просматривать и закрывать оповещения о секретах, записанных в ваш репозиторий.
- Secret scanning
- Advanced Security
- Alerts
- Repositories
Защита отправок с помощью сканирования секретов
Практическое руководствоВы можете использовать secret scanning, чтобы предотвратить отправку поддерживаемых секретов в организацию или репозиторий, включив принудительная защита.
- Secret scanning
- Advanced Security
- Alerts
- Repositories