关于 GitHub Advanced Security产品
GitHub 有许多功能可帮助你改进和维护代码的质量。 其中一些包含在所有计划中,例如依赖项关系图和 Dependabot alerts。
其他安全功能要求购买GitHub的其中一种Advanced Security产品:
- GitHub Secret Protection,包括可帮助你检测和防止机密泄露的功能,例如 secret scanning 和推送保护。
- GitHub Code Security,包括有助于查找和修复漏洞的功能,例如 code scanning、高级 Dependabot 功能和依赖项评审。
或者,你可以拥有 GitHub Advanced Security 许可证,其中包括 GitHub Secret Protection 和 GitHub Code Security 中的所有功能。
您必须处于GitHub Team计划或GitHub Enterprise计划才能购买GitHub Code Security或GitHub Secret Protection。 有关详细信息,请参阅 GitHub的计划 和 GitHub Advanced Security 许可证计费。
GitHub Code Security
可使用以下 GitHub Code Security功能:
-
Code scanning:使用 CodeQL 或第三方工具搜索代码中的潜在安全漏洞和编码错误。
-
CodeQL CLICodeQL:在本地运行进程于软件项目上,或生成code scanning,以便将结果上传到GitHub。
-
自定义自动分类规则 for Dependabot:大规模管理Dependabot alerts,自动化处理需要忽略、推迟或触发Dependabot安全更新的警报。
-
依赖关系评审: 显示更改对依赖项的完整影响,并在合并拉取请求之前查看全部有漏洞的版本的详细信息。
-
安全概览:了解整个组织的风险分布****。
有关功能的详细信息,请参阅 GitHub安全功能。
GitHub Secret Protection
可使用以下 GitHub Secret Protection功能:
- Secret scanning:检测已签入存储库的机密(例如密钥和令牌),并接收警报。
- 推送保护:阻止包含机密的提交,防止机密泄漏发生。
- 自定义模式:检测并防止组织特定的机密泄漏。
- 推送保护的委派绕过和委派警报消除:实施审批流程,更好地控制企业中谁可以执行敏感操作,并支持大规模治理。
- 安全概览:了解整个组织的风险分布。
有关各个功能的详细信息,请参阅 GitHub安全功能。
运行免费安全风险评估
安全风险评估入门GitHub Team GitHub Enterprise组织可以运行免费的安全风险评估,以了解其暴露在安全漏洞方面的风险:
- 机密泄漏:扫描组织中的泄露机密,查看有多少可能通过GitHub Secret Protection得以防止。 请参阅“关于使用 GitHub 的机密安全性”。
在企业中部署 GitHub Code Security 和 GitHub Secret Protection
若要了解您在计划高层次部署GitHub Code Security和GitHub Secret Protection所需的知识,及查看我们建议的部署阶段,请参阅 大规模采用 GitHub Advanced Security。
启用功能
可以使用 security configuration大规模启用安全功能,这是可应用于组织中的存储库的安全启用设置集合。 可以在组织级别使用 Advanced Security 自定义 global settings 的功能。 请参阅“关于批量启用安全功能”。
如果使用的是 GitHub Team 或 GitHub Enterprise 计划,则整个团队或企业的许可证使用将显示在许可证页上。
关于 Azure Repos 的 GitHub Advanced Security
如果要将