Управление параметрами безопасности и анализа для репозитория

Вы можете управлять функциями, которые защищают и анализируют код в проекте на GitHub.

Кто может использовать эту функцию?

People with admin permissions to a repository can manage security and analysis settings for the repository.

В этой статье

Примечание.

Если Dependabot alerts включены или отключены на уровне предприятия, он переопределяет параметры уровня репозитория для Dependabot alerts. Дополнительные сведения см. в разделе Настройка оповещений Dependabot.

Сведения о параметрах безопасности и анализа для репозитория

GitHub предлагает ряд различных функций безопасности, которые можно включить для репозитория для защиты кода от уязвимостей, несанкционированного доступа и других потенциальных угроз безопасности. Многие из этих функций доступны бесплатно для общедоступных репозиториев.

Включение и отключение функций безопасности и анализа для общедоступных репозиториев

Вы можете управлять частью функций безопасности и анализа для общедоступных репозиториев.

Как минимум, необходимо включить следующие параметры для общедоступный репозиторий:

  •         **Dependabot alerts** уведомляет вас об уязвимостях безопасности в сети зависимостей проекта, чтобы можно было обновить затронутую зависимость до более безопасной версии.

  •         **Secret scanning** сканирует репозиторий для секретов (таких как ключи и маркеры API) и предупреждает вас, если секрет найден, чтобы удалить секрет из репозитория.

  •         **Защита** от принудительной отправки не позволяет (и вашим сотрудникам) вводить секреты в репозиторий в первую очередь, блокируя отправки, содержащие поддерживаемые секреты.

  •         **Code scanning** идентифицирует уязвимости и ошибки в коде репозитория, чтобы устранить эти проблемы рано и предотвратить уязвимость или ошибку, эксплуатируемые злоумышленниками.

Другие функции постоянно включены для общедоступных репозиториев, таких как граф зависимостей, в котором показаны все библиотеки и пакеты, от которых зависит ваш репозиторий.

  1. На GitHubперейдите на главную страницу репозитория.

  2. Под именем репозитория щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

    Снимок экрана: заголовок репозитория с вкладками. Вкладка "Параметры" выделена темно-оранжевым контуром.

  3. В разделе "Безопасность" боковой панели щелкните Advanced Security.

  4. В разделе "Advanced Security" справа от функции нажмите кнопку "Отключить или включить".

Включение и отключение функций безопасности и анализа для частных репозиториев

Вы можете управлять функциями безопасности и анализа для репозитория private или internal репозитория. Если у вашей организации или организации есть лицензия на GitHub Code Security или GitHub Secret Protection, доступны дополнительные параметры. Дополнительные сведения см. в разделе О GitHub Advanced Security.

Если включены функции безопасности и анализа, GitHub выполняет анализ только для чтения в репозитории.

  1. На GitHubперейдите на главную страницу репозитория.

  2. Под именем репозитория щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

    Снимок экрана: заголовок репозитория с вкладками. Вкладка "Параметры" выделена темно-оранжевым контуром.

  3. В разделе "Безопасность" боковой панели щелкните Advanced Security.

  4. В разделе "Advanced Security" справа от функции нажмите кнопку "Отключить или включить". Элемент управления "Secret Protection and Code Security" отключен, если у ваших enterprise нет доступных лицензий.

    Примечание.

    Если отключить Secret Protection and Code Security, проверка зависимостей, секрет сканирования и code scanning отключены. Все рабочие процессы, операции отправки SARIF и вызовы API для code scanning будут завершаться сбоем. Если Code Security снова включен, code scanning вернется в предыдущее состояние.

Предоставление доступа к оповещениям системы безопасности

Оповещения системы безопасности GitHub — это автоматические уведомления, информирующие вас об обнаружении уязвимостей в зависимостях или коде репозитория. Они помогут вам просмотреть и устранить эти проблемы, помогая обеспечить безопасность проекта.

Оповещения системы безопасности можно найти в Dependabot, Secret scanningи Code scanning на вкладке "Безопасность " репозитория.

Оповещения системы безопасности для репозитория видны пользователям с доступом к репозиторию, а также доступом администратора к репозиторию и, когда репозиторий принадлежит организации, владелец организации. Вы можете предоставить доступ к оповещениям дополнительным командам и пользователям.

Примечание.

Владельцы организации и администраторы репозитория могут предоставлять доступ только для просмотра оповещений системы безопасности, таких как Оповещения о сканировании секретов, пользователям или командам, имеющим доступ на запись в репозиторий.

  1. На GitHubперейдите на главную страницу репозитория.

  2. Под именем репозитория щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

    Снимок экрана: заголовок репозитория с вкладками. Вкладка "Параметры" выделена темно-оранжевым контуром.

  3. В разделе "Безопасность" боковой панели щелкните Advanced Security.

  4. В разделе "Доступ к оповещениям" в поле поиска начните вводить имя пользователя или команды, которых нужно найти, а затем щелкните имя в списке совпадений.

  5. Нажмите кнопку Сохранить изменения.

Отмена доступа к оповещениям системы безопасности

  1. На GitHubперейдите на главную страницу репозитория.

  2. Под именем репозитория щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

    Снимок экрана: заголовок репозитория с вкладками. Вкладка "Параметры" выделена темно-оранжевым контуром.

  3. В разделе "Безопасность" боковой панели щелкните Advanced Security.

  4. В разделе "Доступ к оповещениям" справа от пользователя или команды, доступ к которому вы хотите удалить, щелкните .

    Снимок экрана: список пользователей с доступом к оповещениям. Справа от значка @octocatx выделяется темно-оранжевым цветом.

  5. Нажмите кнопку Сохранить изменения.

Дополнительные материалы

  •         [AUTOTITLE](/code-security/getting-started/securing-your-repository)

  •         [AUTOTITLE](/organizations/keeping-your-organization-secure/managing-security-settings-for-your-organization/managing-security-and-analysis-settings-for-your-organization)