Как владелец предприятия, вы несете ответственность за поддержание надежной безопасности, соблюдение нормативных требований, устранение рисков и защита интеллектуальной собственности в пределах вашего предприятия. GitHub Есть инструменты, которые могут помочь с этим.
Хранение кода вашей компании GitHub позволяет легко сотрудничество, отслеживание и развертывание из одного места. Несмотря на то, что пользователи могут работать в репозиториях с минимальными трениями, важными для культуры и производительности, необходимо реализовать некоторые элементы управления работой людей, чтобы обеспечить безопасность и надежность кода.
С GitHub Enterprise, у вас есть доступ ко GitHubвсему спектру функций управления, позволяя вам:
- Управление тем, как люди могут обновлять код
- Управление тем, как люди могут использовать репозитории
- Мониторинг действий
- Обнаружение утечки секретов
- Настройка процесса утверждения для важных действий
- Обнаружение уязвимостей или ошибок в коде
Защита ветвей
Для важных ветвей в репозиториях предприятия, таких как ветви, содержащие рабочий код, платформа соответствия требованиям должна снизить риск ошибок или вредоносных кодов в рабочих средах.
С помощью наборов правил можно применять правила, которые управляют тем, как люди могут взаимодействовать с определенными ветвями. Вы также можете предоставить определенным пользователям право явно обходить правила, что обеспечивает гибкость, сохраняя при этом предполагаемые ограничения.
Многие предприятия добавляют правила, которые:
- Ограничение удаления, поэтому пользователи не смогут случайно удалить ветвь.
- Требовать запрос на вытягивание для всех изменений, поэтому у вас есть бумажный след и может применять проверки
- Для успешного объединения запросов на вытягивание требуется проверки состояния и развертывания, чтобы защититься от ошибок в рабочей среде.
Другие правила, такие как требование подписанных фиксаций или журнал линейной фиксации, являются более ситуационных и зависят от требований соответствия требованиям.
Дополнительные сведения см. в разделе Сведения о наборе правил.
Управление использованием репозиториев
Так как репозитории хранятся в коде и данных вашей компании, важно определить, как пользователи могут взаимодействовать с репозиториями, чтобы снизить риск утечки данных. В параметрах предприятия можно задать следующие политики:
- Ограничение видимости репозиториев по умолчанию
- Запретить приглашению не-членов в репозитории
- Запретить отправку или передачу репозиториев за пределы организации
Цель политик заключается в том, чтобы поддерживать требования к безопасности, сохраняя совместную работу и уменьшая трения для разработчиков. Например, вы можете создать организацию «открытый код» для всех публичных репозиториев вашего предприятия и запретить создание публичных репозиториев в других организациях.
раздел «Чтобы узнать о том, как устанавливать политики», смотритеПрименение политик управления репозиториями в организации.
Политики таргетинга с метаданными
Вы можете улучшить управление с помощью автоматизированного применения политик. Это возможно с помощью пользовательских свойств, позволяющих добавлять структурированные метаданные в ваши ресурсы.
С помощью настраиваемых свойств репозитория можно классифицировать репозитории по таким атрибутам, как уровень риска, владение командой или требования соответствия. Эти метаданные позволяют автоматически применять различные правила управления в зависимости от характеристик репозитория.
С помощью настраиваемых свойств организации можно классифицировать организации на предприятии по конфиденциальности данных, нормативным базам или бизнес-единицам. Затем эти свойства можно использовать для выборочного выбора организаций с корпоративными наборами правил.
Оба типа настраиваемых свойств интегрируются с наборами правил, что позволяет создавать мощные платформы управления, которые автоматически применяют правильные политики на основе метаданных, а не на основе ручного выбора репозитория.
См. Управление настраиваемыми свойствами для репозиториев в организации.
Мониторинг действий
Если что-то пойдет не так, важно иметь возможность выполнять поиск действий в вашей организации, чтобы исследовать причину или область проблемы.
GitHubЖурнал аудита включает подробные события, связанные с вашим корпоративным аккаунтом, организациями и, если вы используете Enterprise Managed Users, управляемыми пользователями. Журнал аудита можно фильтровать для таких тем, как действие выставления счетов или поиск событий, связанных с скомпрометированный маркер.
Сведения о доступе к журналу аудита см. в разделе Доступ к журналу аудита для предприятия.
GitHub не сохраняет данные журнала аудита бесконечно. Мы рекомендуем потоковую передачу журналов аудита во внешнее расположение, что позволяет хранить данные до тех пор, пока вам нужны и запрашивать данные с помощью внешних средств. См . раздел AUTOTITLE.
Предотвращение достижения конфиденциальной информации в базе кода
Чтобы защитить интеллектуальную собственность и предотвратить инциденты безопасности, важно реализовать систему, чтобы сохранить конфиденциальную информацию, например маркеры из базы кода.
Secret scanning
С secret scanning помощью , вы можете просканировать свой код, чтобы обнаружить чувствительную информацию, такую как API-ключи, пароли и другие учетные данные в коде, предотвращая несанкционированный доступ и возможные взломы. Secret scanning предупреждает вас о конфиденциальной информации в вашей кодовой базе, позволяя правильно реагировать, меняя пароли или вращая токены.
Дополнительные сведения см. в разделе Сканирование секретов.
Secret scanning Можно включить на уровне предприятия, организации и репозитория. См. Настройка проверки секретов на ваших устройствахВключение функций безопасности в масштабах для поддержки на корпоративном уровне.
Защита от push-уведомлений
Кроме того, вы можете предотвратить случайное отправка конфиденциальных данных и учетных данных в репозитории с защитой push-уведомлений.
Защита push-уведомлений выступает в качестве защиты, сканируя секреты в режиме реального времени и блокируя отправки, содержащие потенциально конфиденциальную информацию. Владельцы организации могут настроить политики принудительной защиты на уровне организации, чтобы обеспечить согласованные стандарты безопасности во всех репозиториях. При блокировке принудительной отправки разработчики получают подробные рекомендации по устранению проблемы, например удаление секрета из кода.
Защиту push-уведомлений можно включить на уровне организации, репозитория и учетной записи пользователя. См . раздел AUTOTITLE.
Настройка процесса утверждения для конфиденциальных действий
Вам может потребоваться настроить процесс утверждения для лучшего контроля над тем, кто в вашей организации может выполнять конфиденциальные действия. Процесс утверждения помогает снизить риск несанкционированных или вредоносных изменений и может предоставить запись о том, кто использовал обход и почему, гарантируя, что все действия отслеживаются и отвечают.
Примечание.
Реализация этих процессов утверждения может привести к некоторым трениям, поэтому важно убедиться, что ваша группа управления безопасностью имеет достаточное покрытие перед продолжением.
Процессы утверждения доступны для:
- Обходы защиты push-уведомлений— вы можете выбрать, кто может обойти защиту push-уведомлений, а также добавить цикл проверки и утверждения для push-уведомлений, содержащих секреты от всех других участников. Для получения дополнительной информации о делегированном обходе для защиты от push см. Делегированный обход для защиты от push-уведомлений.
- Отклонение оповещений для code scanningsecret scanning— Вы можете обеспечить дополнительный контроль и прозрачность оценки оповещений, обеспечивая возможность отклонять (или закрывать оповещения) только назначенные лица. Для получения дополнительной информации об отмене делегированных оповещений см. следующие статьи:
Определение уязвимостей и ошибок безопасности
Многие отрасли имеют правила, требующие регулярных оценок безопасности и управление уязвимостями. ** Code scanning ** помогает обеспечить соответствие отраслевым стандартам, выявляя и снижая риски безопасности вашего кода, такие как небезопасные шаблоны.
Code scanning может быть интегрирован в ваш CI/CD конвейер, обеспечивая непрерывный мониторинг и оценку вашей кодовой базы.
Чтобы начать быстрее code scanning, мы рекомендуем использовать стандартную конфигурацию. См . раздел AUTOTITLE.
Code scanning Можно включить на уровне предприятия, организации и репозитория. См. Настройка сканирования кода для вашего устройстваВключение функций безопасности в масштабах для поддержки на корпоративном уровне.