Skip to main content
Мы публикуем частые обновления нашей документации, и перевод этой страницы может все еще выполняться. Актуальные сведения см. в документации на английском языке.

Защита репозитория

В этой статье

Несколько возможностей GitHub позволяют поддерживать безопасность репозитория.

Кто может использовать эту функцию

Repository administrators and organization owners can configure repository security settings.

Введение

В этом руководстве показано, как настроить функции безопасности для репозитория. Чтобы настроить параметры безопасности для репозитория, необходимо быть администратором репозитория или владельцем организации.

У каждого репозитория свои потребности в безопасности, поэтому вам может не потребоваться включить все функции для репозитория. Дополнительные сведения можно найти в статье Функции безопасности GitHub.

Некоторые функции доступны для репозиториев во всех планах. Для предприятий, использующих GitHub Advanced Security, доступны дополнительные функции. Функции GitHub Advanced Security включены для всех общедоступных репозиториев на сайте GitHub.com. Дополнительные сведения см. в разделе Сведения о GitHub Advanced Security.

Управление доступом к репозиторию

Первым шагом к обеспечению безопасности репозитория является определение пользователей, которые могут просматривать и изменять код. Дополнительные сведения см. в статье Управление параметрами репозитория.

На главной странице репозитория щелкните Settings (Параметры шестеренки) %}, а затем прокрутите вниз до раздела "Опасная зона".

Управление графом зависимостей

Граф зависимостей создается автоматически для всех общедоступных репозиториев. Его можно включить для вилок и частных репозиториев. Граф зависимостей интерпретирует файлы манифеста и блокировки в репозитории для определения зависимостей.

  1. На главной странице репозитория щелкните Параметры.
  2. Выберите Безопасность и анализ.
  3. Рядом с графом зависимостей щелкните Включить или Отключить.

Дополнительные сведения см. в разделе Изучение зависимостей репозитория.

Управление Dependabot alerts

Dependabot alerts создаются, когда GitHub выявляет зависимость в графе зависимостей с уязвимостью. Вы можете включить Dependabot alerts для любого репозитория.

  1. Щелкните фотографию профиля и выберите Параметры.
  2. Выберите Безопасность и анализ.
  3. Нажмите кнопку Включить все рядом с Dependabot alerts.

Дополнительные сведения см. в статье Сведения о Dependabot alerts и Управление параметрами безопасности и анализа для личной учетной записи.

Настройка проверки зависимостей

Проверка зависимостей позволяет визуализировать изменения зависимостей в запросах на вытягивание, прежде чем они будут объединены в репозитории. Дополнительные сведения см. в статье "Сведения о проверке зависимостей".

Проверка зависимостей — это функция GitHub Advanced Security. Проверка зависимостей по умолчанию включена для всех общедоступных репозиториев. Организации, в которых используется GitHub Enterprise Cloud и Advanced Security, могут дополнительно включить эти функции для частных и внутренних репозиториев. Дополнительные сведения см. в документации по GitHub Enterprise Cloud.

Управление функцией "Dependabot security updates"

Для любого репозитория, в котором используются Dependabot alerts, можно включить Dependabot security updates для создания запросов на включение внесенных изменений с обновлениями безопасности при обнаружении уязвимостей.

  1. На главной странице репозитория щелкните Параметры.
  2. Выберите Безопасность и анализ.
  3. Рядом с пунктом "Dependabot security updates" щелкните Включить.

Дополнительные сведения см. в статьях Сведения о Dependabot security updates и Настройка Dependabot security updates.

Управление функцией "Dependabot version updates"

Можно включить Dependabot для автоматического создания запросов на включение внесенных изменений, чтобы поддерживать зависимости в актуальном состоянии. Дополнительные сведения см. в разделе Сведения об Dependabot version updates.

  1. На главной странице репозитория щелкните Параметры.
  2. Выберите Безопасность и анализ.
  3. Щелкните Включить рядом с Dependabot version updates, чтобы создать простой файл конфигурации dependabot.yml.
  4. Укажите зависимости, которые нужно обновить, и зафиксируйте файл в репозиторий. Дополнительные сведения см. в статье Настройка обновления версий Dependabot.

Настройка функции "code scanning"

Вы можете настроить code scanning для автоматического обнаружения уязвимостей и ошибок в коде, хранящейся в репозитории, с помощью Рабочий процесс анализа CodeQL или стороннего средства. В зависимости от языков программирования в репозитории вы можете настроить code scanning с CodeQL с помощью настройки по умолчанию, в которой GitHub автоматически определяет языки для сканирования, наборы запросов для выполнения и события, которые активируют новую проверку.

  1. На главной странице репозитория щелкните Параметры.
  2. В разделе "Безопасность" на боковой панели щелкните Безопасность и анализ кода.
  3. В разделе "Code scanning" выберите Настройка , а затем щелкните По умолчанию.
  4. Во всплывающем окне просмотрите параметры конфигурации по умолчанию для репозитория, а затем щелкните Включить CodeQL.

Кроме того, можно использовать расширенную настройку, которая создает файл рабочего процесса, который можно изменить для настройки code scanning с помощью CodeQL. Дополнительные сведения см. в разделе Настройка code scanning для репозитория.

Code scanning доступно для всех общедоступных репозиториев, а также для частных репозиториев, принадлежащих организациям, которые являются частью предприятия с лицензией на GitHub Advanced Security.

Настройка функции "secret scanning"

Оповещения о проверке секретов для партнеров автоматически выполняется в общедоступных репозиториях во всех продуктах в GitHub.com. Оповещения о проверке секретов для пользователей доступны для общедоступных репозиториев, а также репозиториев, принадлежащих организациям, которые используют GitHub Enterprise Cloud и имеют лицензию на GitHub Advanced Security. Дополнительные сведения см. в разделе Сведения о GitHub Advanced Security.

Настройка политики безопасности

Если вы являетесь обслуживанием репозитория, рекомендуется указать политику безопасности для репозитория, создав в репозитории файл с именем SECURITY.md . Этот файл содержит инструкции пользователям о том, как лучше всего связаться с вами и сотрудничать с вами, когда они хотят сообщить об уязвимостях системы безопасности в репозитории. Политику безопасности репозитория можно просмотреть на вкладке Безопасность репозитория.

  1. На главной странице репозитория щелкните Безопасность.
  2. Выберите Политика безопасности.
  3. Нажмите кнопку Запуск установки.
  4. Добавьте сведения о поддерживаемых версиях проекта и о том, как сообщить об уязвимости.

Дополнительные сведения см. в статье "Добавление политики безопасности в репозиторий".

Дальнейшие действия

Вы можете просматривать оповещения функций безопасности и управлять ими для обработки зависимостей и уязвимостей в коде. Дополнительные сведения см. в разделе Просмотр и обновление Dependabot alerts, Управление запросами на вытягивание для обновлений зависимостей, Управление code scanning для репозитория и Управление оповещениями из secret scanning.

При наличии уязвимости системы безопасности можно создать рекомендации по безопасности, которые позволят в частном порядке обсудить и устранить уязвимость. Дополнительные сведения см. в разделах Сведения о рекомендациях по безопасности репозитория и Создание рекомендаций по безопасности.