关于 GitHub 的安全功能
GitHub 提供安全功能,有助于保护仓库和整个组织中的代码和密钥安全。某些功能适用于所有计划的仓库。企业使用 GitHub 高级安全时,可以使用其他功能。GitHub 高级安全功能也已为 GitHub 上的所有公共仓库启用。有关更多信息,请参阅“关于 GitHub 高级安全”。
GitHub 安全漏洞数据库包含经过整理的安全漏洞列表,您可以查看、搜索和筛选这些漏洞。有关更多信息,请参阅“在 GitHub 安全漏洞数据库中浏览安全漏洞”。
适用于所有仓库
安全策略
让您的用户能够轻松地以机密方式报告他们在您的仓库中发现的安全漏洞。有关更多信息,请参阅“向您的仓库添加安全策略”。
Dependabot 警报和安全更新
查看有关已知包含安全漏洞的依赖项的警报,并选择是否自动生成拉取请求以更新这些依赖项。有关更多信息,请参阅“关于 Dependabot 警报”和“关于 Dependabot 安全更新”。
您可以使用 GitHub 整理的默认 Dependabot 自动分类规则来自动筛选大量误报。Dismiss low impact issues for development-scoped dependencies 是 GitHub 的预设规则。此规则会自动驳回在开发中使用的 npm 依赖项中发现的某些类型的漏洞。该规则经过整理以减少误报并降低警报疲劳。您无法修改 GitHub 预设。有关 GitHub 预设的更多信息,请参阅“使用 GitHub 预设规则优先处理 Dependabot 警报”。
有关 Dependabot 提供的不同功能的概述以及入门说明,请参阅“Dependabot 快速入门指南”。
Dependabot 版本更新
使用 Dependabot 自动发出拉取请求以使您的依赖项保持最新。这有助于减少您对依赖项旧版本的暴露。使用较新版本可以更轻松地应用补丁(如果发现安全漏洞),还可以更轻松地使 Dependabot 安全更新成功发出拉取请求以升级易受攻击的依赖项。您还可以自定义 Dependabot 版本更新以简化其与您的仓库的集成。有关更多信息,请参阅“关于 Dependabot 版本更新”。
依赖项图
依赖项图允许您探索您的仓库依赖的生态系统和包,以及依赖于您的仓库的仓库和包。
您可以在仓库的“**Insights**”选项卡中找到依赖项图。有关更多信息,请参阅“关于依赖项图”。
如果您至少对仓库具有读取访问权限,则可以通过 GitHub UI 或 GitHub REST API 将仓库的依赖项图导出为与 SPDX 兼容的软件物料清单 (SBOM)。有关更多信息,请参阅“导出仓库的软件物料清单”。
仓库的安全概述
安全概述显示为仓库启用了哪些安全功能,并允许您配置任何尚未启用的可用安全功能。
适用于免费的公共仓库
安全漏洞公告
私下讨论并修复仓库代码中的安全漏洞。然后,您可以发布安全漏洞公告以提醒您的社区注意该漏洞并鼓励社区成员进行升级。有关更多信息,请参阅“关于仓库安全漏洞公告”。
用户密钥扫描警报
自动检测已签入公共存储库的令牌或凭据。您可以在存储库的**安全**选项卡中查看 GitHub 在您的代码中找到的任何秘密的警报,以便您知道哪些令牌或凭据应视为已泄露。有关更多信息,请参阅“关于秘密扫描警报”。
用户推送保护
用户推送保护可自动保护您意外将秘密提交到公共存储库,无论存储库本身是否启用了秘密扫描。用户推送保护默认启用,但您可以随时通过您的个人帐户设置禁用此功能。有关更多信息,请参阅“用户推送保护”。
合作伙伴的秘密扫描警报
自动检测所有公共存储库以及公共 npm 包中的泄露的秘密。GitHub 会通知相关服务提供商该秘密可能已泄露。有关受支持的秘密和服务提供商的详细信息,请参阅“受支持的秘密扫描模式”。
适用于 GitHub 高级安全
以下 GitHub 高级安全功能可免费用于 GitHub 上的公共存储库。使用 GitHub Enterprise Cloud 并拥有 GitHub 高级安全许可证的组织可以在其任何存储库中使用完整的功能集。有关 GitHub Enterprise Cloud 提供的功能列表,请参阅GitHub Enterprise Cloud 文档。
有关如何免费试用 GitHub Enterprise 和 GitHub 高级安全的信息,请参阅 GitHub Enterprise Cloud 文档中的“设置 GitHub Enterprise Cloud 试用版”和“设置 GitHub 高级安全试用版”。
代码扫描
自动检测新代码或修改代码中的安全漏洞和编码错误。潜在问题会突出显示,并提供详细的信息,以便您在代码合并到默认分支之前修复它。有关更多信息,请参阅“关于代码扫描”。
用户密钥扫描警报
自动检测已签入存储库的令牌或凭据。您可以在存储库的**安全**选项卡中查看 GitHub 在您的代码中找到的任何秘密的警报,以便您知道哪些令牌或凭据应视为已泄露。有关更多信息,请参阅“关于秘密扫描警报”。
自定义自动分类规则
帮助您大规模管理 Dependabot 警报。使用自定义自动分类规则,您可以控制要忽略、延迟或触发 Dependabot 安全更新的警报。有关更多信息,请参阅“关于 Dependabot 警报”和“自定义自动分类规则以优先处理 Dependabot 警报”。
依赖项审查
显示对依赖项的更改的全部影响,并在合并拉取请求之前查看任何易受攻击版本的详细信息。有关更多信息,请参阅“关于依赖项审查”。