关于 GitHub 高级安全产品
GitHub 拥有众多功能,帮助您改进和维护代码质量。这些功能中有些在所有计划中均已包含,例如依赖关系图和 Dependabot 警报。
其他安全功能需要您购买 GitHub 的高级安全产品之一
- GitHub Secret Protection,其中包括帮助您检测和防止机密泄漏的功能,例如机密扫描和推送保护。
- GitHub Code Security,其中包括帮助您发现和修复漏洞的功能,如代码扫描、Premium Dependabot 功能和依赖审查。
其中一些功能,例如代码扫描和机密扫描,默认在公共仓库中启用。若要在私有或内部仓库中运行这些功能,您必须购买相应的 GitHub 高级安全产品。
您必须使用 GitHub Team 或 GitHub Enterprise 计划才能购买 GitHub 代码安全或 GitHub 密钥保护。欲了解更多信息,请参阅 GitHub 的计划 和 GitHub 高级安全许可证计费。
GitHub 代码安全
使用 GitHub 代码安全,您可获得以下功能
-
Code scanning:使用 CodeQL 或第三方工具在代码中搜索潜在的安全漏洞和编码错误。
-
CodeQL CLI:在本地软件项目上运行 CodeQL 进程,或生成代码扫描结果以上传至 GitHub。
-
Copilot Autofix:获取针对代码扫描警报的自动生成修复。
-
Security campaigns:大规模降低安全债务。
-
Custom auto-triage rules for Dependabot:通过自动化选择要忽略、延迟或触发 Dependabot 安全更新的警报,实现大规模管理 Dependabot 警报。
-
Dependency review:在合并拉取请求之前,展示依赖变更的完整影响,并查看任何易受攻击版本的详细信息。
-
Security overview:了解组织内风险的分布情况。
下表概述了 GitHub 代码安全功能在公共和私有仓库中的可用性。
| 公共仓库 未使用 GitHub 代码安全 | 私有仓库 未使用 GitHub 代码安全 | 公共或私有仓库 使用 GitHub 代码安全 | |
|---|---|---|---|
| 代码扫描 | |||
| CodeQL CLI | |||
| Copilot Autofix | |||
| 安全活动 | |||
| 自定义自动分流规则 | |||
| 依赖审查 | |||
| 安全概览 |
有关功能的更多信息,请参阅 GitHub 安全功能。
GitHub 密钥保护
使用 GitHub 密钥保护,您可获得以下功能
- Secret scanning:检测已提交到仓库的机密(例如密钥和令牌),并接收警报。
- Push protection:通过阻止包含机密的提交,在泄漏发生前防止机密泄露。
- Copilot secret scanning:利用 AI 检测已提交到仓库的非结构化凭证(例如密码)。
- Custom patterns:检测并防止组织特定机密的泄漏。
- Delegated bypass for push protection 和 Delegated alert dismissal:实现审批流程,以更好地控制企业中哪些人可以执行敏感操作,支持规模化治理。
- Security campaigns:通过创建活动并协作修复,规模化补救泄露的机密。
- Security overview:了解组织内风险的分布情况。
下表概述了 GitHub 密钥保护功能在公共和私有仓库中的可用性。
| 公共仓库 未使用 GitHub 密钥保护 | 私有仓库 未使用 GitHub 密钥保护 | 公共或私有仓库 使用 GitHub 密钥保护 | |
|---|---|---|---|
| 机密扫描 | |||
| 推送保护 | |||
| Copilot 机密扫描 | |||
| 自定义模式 | |||
| 委派推送保护绕过 | |||
| 安全活动 | |||
| 安全概览 |
有关各个功能的更多信息,请参阅 GitHub 安全功能。
进行免费安全风险评估
GitHub Team 和 GitHub Enterprise 的组织可以进行免费安全风险评估,以了解其对安全漏洞的暴露情况
-
Secret leaks:扫描组织中泄露的机密,并查看有多少本可以通过 GitHub 密钥保护防止。参见 关于 GitHub 的机密安全。
-
Code vulnerabilities:扫描您最多 20 个最活跃的仓库,了解如果启用 GitHub 代码安全,多少漏洞可以通过 Copilot Autofix 自动修复。参见 代码安全风险评估。
部署 GitHub 代码安全和 GitHub 密钥保护
了解规划 GitHub 代码安全和 GitHub 密钥保护部署所需的高层信息,并审阅我们推荐的发布阶段,请参阅 大规模采用 GitHub 高级安全。
启用功能
您可以通过安全配置快速大规模启用安全功能,安全配置是一组可应用于组织中仓库的安全启用设置。您还能使用全局设置在组织层面自定义高级安全功能。参见 关于大规模启用安全功能。
如果您使用的是 GitHub Team 或 GitHub Enterprise 计划,整个团队或企业的许可证使用情况会显示在许可证页面。参见 查看计量产品和许可证的使用情况。
管理 GitHub 高级安全
企业所有者可以管理其企业的 GitHub 高级安全许可证和访问权限,包括在所有仓库中禁用 GitHub 高级安全并阻止未来重新启用。参见 管理 GitHub 高级安全的大批量许可证。
有关管理 GitHub 高级安全许可证的信息,请参阅 管理您对高级安全的付费使用。
关于 GitHub 高级安全认证
您可以通过获得 GitHub 认证的 GitHub 高级安全证书来展示您的专业知识。该认证验证您在漏洞识别、工作流安全和稳健安全实现方面的专业能力。参见 关于 GitHub 认证。
关于在 Azure Repos 中使用 GitHub 高级安全
如果您想在 Azure Repos 中使用 GitHub 高级安全,请在我们的资源站点中查看 GitHub 高级安全与 Azure DevOps。文档请参阅 Microsoft Learn 中的 为 Azure DevOps 配置 GitHub 高级安全。