Как владелец предприятия, вы несете ответственность за поддержание надежной безопасности, соблюдение нормативных требований, устранение рисков и защита интеллектуальной собственности в пределах вашего предприятия. GitHub имеет средства, которые помогут с этим.
Хранение кода вашей компании на GitHub позволяет легко выполнять совместную работу, отслеживание и развертывание из одного расположения. Несмотря на то, что пользователи могут работать в репозиториях с минимальными трениями, важными для культуры и производительности, необходимо реализовать некоторые элементы управления работой людей, чтобы обеспечить безопасность и надежность кода.
При использовании GitHub Enterpriseу вас есть доступ к GitHubв полном диапазоне функций управления, что позволяет:
- Управление тем, как люди могут обновлять код
- Управление тем, как люди могут использовать репозитории
- Мониторинг действий
- Обнаружение утечки секретов
- Настройка процесса утверждения для важных действий
- Обнаружение уязвимостей или ошибок в коде
Защита ветвей
Для важных ветвей в репозиториях предприятия, таких как ветви, содержащие рабочий код, платформа соответствия требованиям должна снизить риск ошибок или вредоносных кодов в рабочих средах.
С помощью наборов правил можно применять правила, которые управляют тем, как люди могут взаимодействовать с определенными ветвями. Вы также можете предоставить определенным пользователям право явно обходить правила, что обеспечивает гибкость, сохраняя при этом предполагаемые ограничения.
Многие предприятия добавляют правила, которые:
-
**Ограничение удаления, поэтому пользователи** не смогут случайно удалить ветвь. -
**Требовать запрос** на вытягивание для всех изменений, поэтому у вас есть бумажный след и может применять проверки -
**Для успешного** объединения запросов на вытягивание требуется проверки состояния и развертывания, чтобы защититься от ошибок в рабочей среде.
Другие правила, такие как требование подписанных фиксаций или журнал линейной фиксации, являются более ситуационных и зависят от требований соответствия требованиям.
Дополнительные сведения см. в разделе Сведения о наборе правил.
Управление использованием репозиториев
Так как репозитории хранятся в коде и данных вашей компании, важно определить, как пользователи могут взаимодействовать с репозиториями, чтобы снизить риск утечки данных. В параметрах предприятия можно задать следующие политики:
- Ограничение видимости репозиториев по умолчанию
- Запретить приглашению не-членов в репозитории
- Запретить отправку или передачу репозиториев за пределы организации
Цель политик заключается в том, чтобы поддерживать требования к безопасности, сохраняя совместную работу и уменьшая трения для разработчиков. Например, вы можете создать организацию «open source» для всех публичных репозиториев вашего предприятия и запретить создание публичных репозиториев в других организациях.
Чтобы узнать, как задать политики, см. раздел Применение политик управления репозиториями в организации.
Политики таргетинга с метаданными
Вы можете улучшить управление с помощью автоматизированного применения политик. Это возможно с помощью пользовательских свойств, позволяющих добавлять структурированные метаданные в ваши ресурсы.
С помощью настраиваемых свойств репозитория можно классифицировать репозитории по таким атрибутам, как уровень риска, владение командой или требования соответствия. Эти метаданные позволяют автоматически применять различные правила управления в зависимости от характеристик репозитория.
С помощью настраиваемых свойств организации можно классифицировать организации на предприятии по конфиденциальности данных, нормативным базам или бизнес-единицам. Затем эти свойства можно использовать для выборочного выбора организаций с корпоративными наборами правил.
Оба типа настраиваемых свойств интегрируются с наборами правил, что позволяет создавать мощные платформы управления, которые автоматически применяют правильные политики на основе метаданных, а не на основе ручного выбора репозитория.
См. Управление настраиваемыми свойствами для репозиториев в организации.
Мониторинг действий
Если что-то пойдет не так, важно иметь возможность выполнять поиск действий в вашей организации, чтобы исследовать причину или область проблемы.
Журнал аудита GitHubвключает подробные события, связанные с вашей корпоративной учетной записью, организациями и, если вы используете Enterprise Managed Users, управляемые пользователи. Журнал аудита можно фильтровать для таких тем, как действие выставления счетов или поиск событий, связанных с скомпрометированный маркер.
Сведения о доступе к журналу аудита см. в разделе Доступ к журналу аудита для предприятия.
GitHub не сохраняет данные журнала аудита на неопределенный срок. Мы рекомендуем потоковую передачу журналов аудита во внешнее расположение, что позволяет хранить данные до тех пор, пока вам нужны и запрашивать данные с помощью внешних средств. См . раздел AUTOTITLE.
Предотвращение достижения конфиденциальной информации в базе кода
Чтобы защитить интеллектуальную собственность и предотвратить инциденты безопасности, важно реализовать систему, чтобы сохранить конфиденциальную информацию, например маркеры из базы кода.
Secret scanning
С помощью secret scanning можно сканировать код для обнаружения конфиденциальных данных, таких как ключи API, пароли и другие учетные данные в базе кода, предотвращение несанкционированного доступа и потенциальных нарушений. Secret scanning оповещает вас о конфиденциальной информации в базе кода, что позволяет реагировать соответствующим образом, изменяя пароли или сменяя маркеры.
Дополнительные сведения см. в разделе Сведения о проверке секретов.
Secret scanning можно включить на уровне предприятия, организации и репозитория. См. статью [AUTOTITLE для включения на корпоративном уровне.
Защита от push-уведомлений
Кроме того, вы можете предотвратить случайное отправка конфиденциальных данных и учетных данных в репозитории с защитой push-уведомлений.
Защита push-уведомлений выступает в качестве защиты, сканируя секреты в режиме реального времени и блокируя отправки, содержащие потенциально конфиденциальную информацию. Владельцы организации могут настроить политики принудительной защиты на уровне организации, чтобы обеспечить согласованные стандарты безопасности во всех репозиториях. При блокировке принудительной отправки разработчики получают подробные рекомендации по устранению проблемы, например удаление секрета из кода.
Защиту push-уведомлений можно включить на уровне организации, репозитория и учетной записи пользователя. См . раздел AUTOTITLE.
Примечание.
Конфигурация шаблонов для принудительной защиты на уровне предприятия и организации в настоящее время находится в public preview и подлежит изменению.
Чтобы выровнять обнаружение секретов с внутренними политиками безопасности и более эффективно предотвратить несанкционированное воздействие конфиденциальной информации в репозиториях, можно настроить, какие шаблоны секретов включены в защиту push-уведомлений на уровне предприятия или организации. См. раздел [AUTOTITLE и Настройка дополнительных параметров сканирования секретов для вашего предприятия](/code-security/securing-your-organization/enabling-security-features-in-your-organization/configuring-global-security-settings-for-your-organization#specifying-patterns-to-include-in-push-protection).
Настройка процесса утверждения для конфиденциальных действий
Вам может потребоваться настроить процесс утверждения для лучшего контроля над тем, кто в вашей организации может выполнять конфиденциальные действия. Процесс утверждения помогает снизить риск несанкционированных или вредоносных изменений и может предоставить запись о том, кто использовал обход и почему, гарантируя, что все действия отслеживаются и отвечают.
Примечание.
Реализация этих процессов утверждения может привести к некоторым трениям, поэтому важно убедиться, что ваша группа управления безопасностью имеет достаточное покрытие перед продолжением.
Процессы утверждения доступны для:
- Обходы защиты push-уведомлений— вы можете выбрать, кто может обойти защиту push-уведомлений, а также добавить цикл проверки и утверждения для push-уведомлений, содержащих секреты от всех других участников. Дополнительные сведения об делегировании обхода для защиты** push-уведомлений см. в **разделе Сведения о делегированной обходе для защиты от push-уведомлений.
- Отклонения оповещений для code scanning и secret scanning — Вы можете обеспечить дополнительный контроль и видимость оценки оповещений, обеспечивая возможность отклонять (или закрывать) оповещения только назначенные лица. Для получения дополнительной информации об отмене делегированных оповещений см. следующие статьи: * Включение делегированного увольнения оповещений для сканирования кода * Включение делегированного увольнения оповещений для сканирования секретов
Определение уязвимостей и ошибок безопасности
Многие отрасли имеют правила, требующие регулярных оценок безопасности и управление уязвимостями. Code scanning помогает обеспечить соответствие отраслевым стандартам путем выявления и устранения рисков безопасности в коде, таких как небезопасные шаблоны.
Code scanning можно интегрировать в конвейер CI/CD, обеспечивая непрерывный мониторинг и оценку базы кода.
Чтобы быстро приступить к работе с code scanning, рекомендуется использовать настройку по умолчанию. См . раздел AUTOTITLE.
Code scanning можно включить на уровне предприятия, организации и репозитория. См. статью [AUTOTITLE для включения на корпоративном уровне.