Skip to main content
我们经常发布文档更新,此页面的翻译可能仍在进行中。有关最新信息,请访问英语文档
 

 

保护您的仓库

本文内容

您可以使用许多 GitHub 功能来帮助保护仓库的安全。

Who can use this feature

Repository administrators and organization owners can configure repository security settings.

简介

本指南向您展示如何配置仓库的安全功能。 您必须是仓库管理员或组织所有者才能配置仓库的安全设置。

您的安全需求是仓库独有的,因此您可能不需要启用仓库的每个功能。 有关详细信息,请参阅“GitHub 安全功能”。

某些功能可用于 所有计划中的存储库。 使用 GitHub Advanced Security 的企业可以使用其他功能。 GitHub Advanced Security 功能也针对 GitHub.com 上的所有公共存储库启用。 有关详细信息,请参阅“关于 GitHub Advanced Security”。

管理对仓库的访问

保护仓库的第一步是设置谁可以查看和修改您的代码。 有关详细信息,请参阅“管理存储库设置”。

从存储库的主页中,单击“设置”,然后向下滚动到“危险区域”。

设置安全策略

  1. 从存储库的主页中,单击“ 安全性”。
  2. 单击“安全策略”。
  3. 单击“开始设置”。
  4. 添加关于项目受支持版本以及如何报告漏洞的信息。

有关详细信息,请参阅“向存储库添加安全策略”。

管理依赖关系图

依赖项关系图自动为所有公共存储库生成,你可以选择为专用存储库启用它。 它解释存储库中的清单和锁定文件以识别依赖项。

  1. 从存储库的主页中,单击“ 设置”。
  2. 单击“安全性和分析”。
  3. 在依赖项关系图旁边,单击“启用”或“禁用” 。

有关详细信息,请参阅“探索存储库的依赖项”。

管理 Dependabot alerts

当 GitHub 在依赖关系图中标识具有漏洞的依赖项时,将生成 Dependabot alerts 。 您可以为任何存储库启用 Dependabot alerts。

  1. 单击你的个人资料照片,然后单击“设置”。
  2. 单击“安全性和分析”。
  3. 单击 Dependabot alerts 旁边的“全部启用”。

有关详细信息,请参阅“关于 Dependabot alerts”和“管理个人帐户的安全和分析设置”。

管理依赖项审查

依赖项审查可让您在合并到仓库之前在拉取请求中显示依赖关系的变化。 有关详细信息,请参阅“关于依赖项审查”。

依赖项审查是一项 GitHub Advanced Security 功能。 已为所有公共存储库启用了依赖项审查。 将 GitHub Enterprise Cloud 与 Advanced Security 一起使用的组织还可以对私有和内部存储库启用依赖项审查。 有关详细信息,请参阅 GitHub Enterprise Cloud 文档

管理 Dependabot security updates

对于任何使用 Dependabot alerts 的仓库,您可以启用 Dependabot security updates 在检测到漏洞时提出带有安全更新的拉取请求。

  1. 从存储库的主页中,单击“设置”。
  2. 单击“安全性和分析”。
  3. 在 Dependabot security updates 旁边,单击“启用”。

有关详细信息,请参阅“关于 Dependabot security updates”和“配置 Dependabot security updates”。

管理 Dependabot version updates

您可以让 Dependabot 自动提出拉取请求以保持依赖项的更新。 有关详细信息,请参阅“关于 Dependabot version updates”。

  1. 从存储库的主页中,单击“ 设置”。
  2. 单击“安全性和分析”。
  3. 在 Dependabot version updates 旁,单击“启用”以创建基本 dependabot.yml 配置文件。
  4. 指定要更新文件并将文件提交到存储库的依赖项。 有关详细信息,请参阅“配置 Dependabot 版本更新”。

配置 code scanning

可以使用 CodeQL analysis workflow 或第三方工具设置 code scanning,以自动识别存储库中存储的代码中的漏洞和错误。 有关详细信息,请参阅“为存储库设置 code scanning”。

Code scanning 适用于所有公共存储库,以及属于具有许可证的企业一部分的组织所拥有的私有存储库GitHub Advanced Security)。

配置 secret scanning

Secret scanning 可对所有公共存储库启用,并且可用于属于具有许可证的企业一部分的组织所拥有的私有存储库GitHub Advanced Security)。 有关详细信息,请参阅 GitHub Enterprise Cloud 文档

后续步骤

您可以查看和管理来自安全功能的警报,以解决代码中的依赖项和漏洞。 有关详细信息,请参阅 “查看和更新 Dependabot alerts”、 “管理用于依赖项更新的拉取请求”、“管理存储库的 code scanning”和“管理来自 secret scanning 的警报”。

如果您存在安全漏洞,您可以创建安全通告,以私下讨论和修复该漏洞。 有关详细信息,请参阅“关于存储库安全公告”和“创建安全公告”。