Эта версия GitHub Enterprise Server будет прекращена 2026-04-09. Исправления выпускаться не будут даже при критических проблемах безопасности. Для повышения производительности, повышения безопасности и новых функций выполните обновление до последней версии GitHub Enterprise Server. Чтобы получить справку по обновлению, обратитесь в службу поддержки GitHub Enterprise.

Краткое руководство по защите репозитория

Управление доступом к коду. Автоматически найдите и исправьте уязвимый код и зависимости.

Кто может использовать эту функцию?

Владельцы репозитория, владелец организации, руководители безопасности и пользователи с ролью администратора

В этой статье

Введение

В этом руководстве показано, как настроить функции безопасности для репозитория.

У каждого репозитория свои потребности в безопасности, поэтому вам может не потребоваться включить все функции для репозитория. Дополнительные сведения см. в разделе Функции безопасности GitHub.

Некоторые функции доступны для все репозитории. Дополнительные функции доступны организациям и предприятиям, которые используют GitHub Advanced Security. Дополнительные сведения см. в разделе О GitHub Advanced Security.

Управление доступом к репозиторию

Первым шагом для защиты репозитория является определение того, кто может видеть и изменять код. Дополнительные сведения см. в разделе Управление настройками и функциями вашего репозитория.

На главной странице вашего репозитория нажмите «Настройки», затем прокрутите вниз до «Danger Zone».

Управление графом зависимостей

Владельцы предприятия могут настроить граф зависимостей и Dependabot alerts для предприятия. Дополнительные сведения см. в разделе [AUTOTITLE и Включение графа зависимостей для предприятия](/admin/configuration/configuring-github-connect/enabling-dependabot-for-your-enterprise).

Дополнительные сведения см. в разделе Изучение зависимостей репозитория.

Менеджмент Dependabot alerts

          Dependabot alerts генерируются, когда GitHub определяется зависимость в графе зависимостей с уязвимостью.

Кроме того, можно использовать Правила автообработки зависимостей для управления оповещениями в масштабе, чтобы можно было автоматически закрыть или отклонить оповещения, а также указать, для каких оповещений требуется Dependabot для открытия запросов на вытягивание. Сведения о различных типах правил автоматической сортировки и о том, разрешены ли репозитории, см. в разделе Сведения о правилах автообработки Dependabot.

Общие сведения о различных функциях, предлагаемых Dependabot и инструкции по началу работы см. в разделе Краткое руководство по зависимостям.

Владельцы предприятия должны настроить граф зависимостей и Dependabot alerts для предприятия.

После настройки Dependabot alerts администраторы репозитория и владелец организации могут включить Dependabot alerts для частных и внутренних репозиториев на странице параметров "Code security and analysis". Общедоступные репозитории включены по умолчанию. Дополнительные сведения см. в разделе AUTOTITLE, [AUTOTITLE[ и Настройка оповещений Dependabot](/admin/configuration/configuring-github-connect/enabling-dependabot-for-your-enterprise).](/admin/code-security/managing-supply-chain-security-for-your-enterprise/enabling-the-dependency-graph-for-your-enterprise)

Для получения дополнительной информации смотрите Сведения об оповещениях Dependabot.

Настройка проверки зависимостей

Проверка зависимостей позволяет визуализировать изменения зависимостей в запросах на вытягивание, прежде чем они будут объединены в репозитории. Дополнительные сведения см. в разделе Сведения о проверке зависимостей.

Проверка зависимостей — это функция GitHub Advanced Security .

Чтобы включить проверку зависимостей для репозитория, убедитесь, что граф зависимостей включен.

  1. На главной странице вашего репозитория нажмите «Настройки».
  2. Клик Code security and analysis.
  3. Проверьте, настроен ли граф зависимостей для вашего предприятия.

Менеджмент Dependabot security updates

Для любого репозитория, использующего Dependabot alerts, вы можете включить Dependabot security updates возможность запускать pull requests с помощью обновлений безопасности при обнаружении уязвимостей.

  1. На главной странице вашего репозитория нажмите «Настройки».
  2. Клик Code security and analysis.
  3. Далее Dependabot security updatesнажмите Включить.

Дополнительные сведения см. в разделе [AUTOTITLE и Сведения об обновлениях для системы безопасности Dependabot](/code-security/dependabot/dependabot-security-updates/configuring-dependabot-security-updates).

Менеджмент Dependabot version updates

Вы можете автоматически Dependabot запускать pull request, чтобы ваши зависимости оставались up-to-date. Дополнительные сведения см. в разделе Сведения об обновлениях версий Dependabot.

Чтобы включить Dependabot version updates, необходимо создать dependabot.yml конфигурационный файл. Дополнительные сведения см. в разделе Настройка обновлений версий Dependabot.

Настройка code scanning

Вы можете настроить code scanning автоматическое выявление уязвимостей и ошибок в коде, хранящемся в вашем репозитории, с помощью Рабочий процесс анализа CodeQL инструмента или стороннего инструмента. В зависимости от языков программирования в вашем репозитории, вы можете настроить code scanning по CodeQL умолчанию, GitHub которая автоматически определяет языки для сканирования, наборы запросов для запуска и события, которые запускают новое сканирование. Дополнительные сведения см. в разделе Настройка настройки по умолчанию для сканирования кода.

  1. На главной странице вашего репозитория нажмите «Настройки».
  2. В разделе «Безопасность» боковой панели нажмите Code security and analysis.
  3. В разделе «Code scanning» выберите «Настройка», затем нажмите «По умолчанию».
  4. В всплывающем окне просмотрите настройки настройки репозитория по умолчанию, затем нажмите Включить CodeQL.

В качестве альтернативы стандартной настройке можно использовать расширенную конфигурацию, которая генерирует файл рабочего процесса, который можно редактировать для настройки code scanning с CodeQLпомощью . Дополнительные сведения см. в разделе Настройка расширенной настройки для сканирования кода.

Настройка secret scanning

  1. На главной странице вашего репозитория нажмите «Настройки».
  2. Клик Code security and analysis.
  3. Если «Advanced Security» или «GitHub Advanced Security» ещё не включены, нажмите «Включить».
  4. Если отображается опция «Secret scanning» — нажмите «Включить».

Настройка политики безопасности

Если вы являетесь ответственный за репозиторий, рекомендуется указать политику безопасности для репозитория, создав файл с именем SECURITY.md в репозитории. Этот файл указывает пользователям, как лучше связаться с вами и сотрудничать с вами, когда они хотят сообщить об уязвимостях безопасности в репозитории. Вы можете просмотреть политику безопасности репозитория во вкладке репозитория Security .

  1. На главной странице вашего репозитория нажмите Security.
  2. В левой боковой панели, в разделе «Отчётность», нажмите «Политика».
  3. Нажмите кнопку Запуск установки.
  4. Добавьте сведения о поддерживаемых версиях проекта и о том, как сообщить об уязвимости.

Дополнительные сведения см. в разделе Добавление политики безопасности в репозиторий.

Следующие шаги

Вы можете просматривать оповещения функций безопасности и управлять ими для обработки зависимостей и уязвимостей в коде. Дополнительные сведения см. в разделе AUTOTITLE, AUTOTITLE, [AUTOTITLE и Управление запросами на вытягивание для обновлений зависимостей](/code-security/code-scanning/managing-code-scanning-alerts/assessing-code-scanning-alerts-for-your-repository).

Вы также можете использовать GitHubинструменты для аудита ответов на оповещения безопасности. Дополнительные сведения см. в разделе Аудит оповещений системы безопасности.

Если вы используете GitHub Actions, можно использовать функции безопасности GitHub, чтобы повысить безопасность рабочих процессов. Дополнительные сведения см. в разделе Справочник по безопасному использованию.