Skip to main content
Мы часто публикуем обновления нашей документации, поэтому перевод этой страницы может все еще выполняться. Актуальные сведения см. на странице Документация на английском языке.
 

 

Защита репозитория

В этой статье

Несколько возможностей GitHub позволяют поддерживать безопасность репозитория.

Who can use this feature

Repository administrators and organization owners can configure repository security settings.

Введение

В этом руководстве показано, как настроить функции безопасности для репозитория. Чтобы настроить параметры безопасности для репозитория, необходимо быть администратором репозитория или владельцем организации.

У каждого репозитория свои потребности в безопасности, поэтому вам может не потребоваться включить все функции для репозитория. Дополнительные сведения можно найти в статье Функции безопасности GitHub.

Некоторые функции доступны для репозиториев во всех планах. Для предприятий, использующих GitHub Advanced Security, доступны дополнительные функции. Функции GitHub Advanced Security включены для всех общедоступных репозиториев на сайте GitHub.com. Дополнительные сведения см. в разделе Сведения о GitHub Advanced Security.

Управление доступом к репозиторию

Первым шагом для защиты репозитория является настройка пользователей, которые могут просматривать и изменять код. Дополнительные сведения см. в статье Управление параметрами репозитория.

На главной странице репозитория щелкните Параметры, а затем прокрутите вниз до "Зона опасности".

Настройка политики безопасности

  1. На главной странице репозитория щелкните Безопасность.
  2. Выберите Политика безопасности.
  3. Нажмите кнопку Запуск установки.
  4. Добавьте сведения о поддерживаемых версиях проекта и о том, как сообщить об уязвимости.

Дополнительные сведения см. в статье "Добавление политики безопасности в репозиторий".

Управление графом зависимостей

Граф зависимостей автоматически создается для всех общедоступных репозиториев, и его можно включить для частных репозиториев. Он интерпретирует файлы манифеста и блокировки в репозитории для идентификации зависимостей.

  1. На главной странице репозитория щелкните Параметры.
  2. Выберите Безопасность и анализ.
  3. Рядом с графом зависимостей щелкните Включить или Отключить.

Дополнительные сведения см. в разделе Изучение зависимостей репозитория.

Управление Dependabot alerts

Dependabot alerts создаются, когда GitHub выявляет зависимость в графе зависимостей с уязвимостью. Вы можете включить Dependabot alerts для любого репозитория.

  1. Щелкните фотографию профиля и выберите Параметры.
  2. Выберите Безопасность и анализ.
  3. Нажмите кнопку Включить все рядом с Dependabot alerts.

Дополнительные сведения см. в статье Сведения о Dependabot alerts и Управление параметрами безопасности и анализа для личной учетной записи.

Настройка проверки зависимостей

Проверка зависимостей позволяет визуализировать изменения зависимостей в запросах на вытягивание, прежде чем они будут объединены в репозитории. Дополнительные сведения см. в статье "Сведения о проверке зависимостей".

Проверка зависимостей — это функция GitHub Advanced Security. Проверка зависимостей по умолчанию включена для всех общедоступных репозиториев. Организации, в которых используется GitHub Enterprise Cloud и Advanced Security, могут дополнительно включить эти функции для частных и внутренних репозиториев. Дополнительные сведения см. в документации по GitHub Enterprise Cloud.

Управление функцией "Dependabot security updates"

Для любого репозитория, в котором используются Dependabot alerts, можно включить Dependabot security updates для создания запросов на включение внесенных изменений с обновлениями безопасности при обнаружении уязвимостей.

  1. На главной странице репозитория щелкните Параметры.
  2. Выберите Безопасность и анализ.
  3. Рядом с пунктом "Dependabot security updates" щелкните Включить.

Дополнительные сведения см. в статьях Сведения о Dependabot security updates и Настройка Dependabot security updates.

Управление функцией "Dependabot version updates"

Можно включить Dependabot для автоматического создания запросов на включение внесенных изменений, чтобы поддерживать зависимости в актуальном состоянии. Дополнительные сведения см. в разделе Сведения об Dependabot version updates.

  1. На главной странице репозитория щелкните Параметры.
  2. Выберите Безопасность и анализ.
  3. Щелкните Включить рядом с Dependabot version updates, чтобы создать простой файл конфигурации dependabot.yml.
  4. Укажите зависимости, которые нужно обновить, и зафиксируйте файл в репозиторий. Дополнительные сведения см. в статье Настройка обновления версий Dependabot.

Настройка функции "code scanning"

Вы можете настроить code scanning для автоматического выявления уязвимостей и ошибок в коде, хранящейся в репозитории, с помощью CodeQL analysis workflow или стороннего средства. Дополнительные сведения см. в статье Настройка функции code scanning для репозитория.

Code scanning доступно для всех общедоступных репозиториев, а также для частных репозиториев, принадлежащих организациям, которые являются частью предприятия с лицензией на GitHub Advanced Security.

Настройка функции "secret scanning"

Secret scanning включено для всех общедоступных репозиториев и доступно для частных репозиториев, принадлежащих организациям, которые являются частью предприятия с лицензией на GitHub Advanced Security. Дополнительные сведения можно найти в документации GitHub Enterprise Cloud.

Дальнейшие действия

Вы можете просматривать оповещения функций безопасности и управлять ими для обработки зависимостей и уязвимостей в коде. Дополнительные сведения см. в разделе Просмотр и обновление Dependabot alerts, Управление запросами на вытягивание для обновлений зависимостей, Управление code scanning для репозитория и Управление оповещениями из secret scanning.

При наличии уязвимости системы безопасности можно создать рекомендации по безопасности, которые позволят в частном порядке обсудить и устранить уязвимость. Дополнительные сведения см. в разделах Сведения о рекомендациях по безопасности репозитория и Создание рекомендаций по безопасности.