关于安全发现
应用安全配置到代码库后,启用的安全功能可能会在该代码库上引发安全发现。这些发现可能会显示为特定于功能的警报,或作为旨在确保代码库安全的自动生成的拉取请求。您可以分析整个组织中的发现,并对安全配置进行必要的调整。
为了最佳地保护您的组织,您应该鼓励贡献者审查和解决安全警报和拉取请求。
解读密钥扫描警报
密钥扫描是一种安全工具,它扫描代码库的整个 Git 历史记录,以及这些代码库中的问题、拉取请求、讨论和 Wiki,以查找意外提交的泄露密钥(例如令牌或私钥)。密钥扫描警报有两种类型
- 合作伙伴的密钥扫描警报,发送给发出密钥的提供商
- 用户的密钥扫描警报,显示在 GitHub 上,可以解决
您可以通过导航到该组织的主页,点击来查看组织的密钥扫描警报 **安全** 选项卡,然后点击 密钥扫描.
有关密钥扫描警报的介绍,请参阅“关于密钥扫描警报”。
要了解如何评估密钥扫描警报,请参阅“评估密钥扫描警报”。
解读代码扫描警报
代码扫描是用于分析 GitHub 代码库中的代码以查找安全漏洞和编码错误的功能。分析中发现的任何问题都会显示在您的代码库中。这些问题会作为代码扫描警报提出,其中包含有关检测到的漏洞或错误的详细信息。
您可以通过导航到该组织的主页,点击来查看组织的代码扫描警报 **安全** 选项卡,然后点击 代码扫描.
有关代码扫描警报的介绍,请参阅“关于代码扫描警报”。
要了解如何解读和解决代码扫描警报,请参阅“评估代码库的代码扫描警报”和“解决代码扫描警报”。
解读 Dependabot 警报
Dependabot 警报会通知您组织中代码库中使用的依赖项中的漏洞。您可以通过导航到该组织的主页,点击来查看组织的 Dependabot 警报 **安全** 选项卡,然后点击 Dependabot.
有关 Dependabot 警报的介绍,请参阅“关于 Dependabot 警报”。
要了解如何解读和解决 Dependabot 警报,请参阅“查看和更新 Dependabot 警报”。
注意
如果您启用了 Dependabot 安全更新,Dependabot 还可以自动提出拉取请求以更新组织代码库中使用的依赖项。有关详细信息,请参阅“关于 Dependabot 安全更新”。
后续步骤
如果您正在使用 GitHub 推荐的安全配置,并且您的发现表明安全启用设置无法满足您的需求,则应创建自定义安全配置。要开始,请参阅“创建自定义安全配置”。
如果您正在使用自定义安全配置,并且您的发现表明安全启用设置无法满足您的需求,则可以编辑现有配置。有关更多信息,请参阅“编辑自定义安全配置”。
最后,您还可以使用全局设置编辑组织级别的安全设置。要了解更多信息,请参阅“配置组织的全局安全设置”。