Ce este GitHub Advanced Security?

Finalizat

GitHub are multe caracteristici care vă ajută să îmbunătățiți și să mențineți calitatea codului. Unele dintre aceste funcții sunt incluse în toate planurile, cum ar fi graficul dependenței și alertele Dependabot. Altele oferă funcționalitate limitată pe depozitele publice, în timp ce capabilitățile avansate pentru depozitele private necesită securitatea codului GitHub și GitHub Secret Protection.

În această unitate, vei afla mai multe despre GitHub Advanced Security și vei descoperi cum arată un proiect cu capabilități avansate de securitate.

Prezentare generală a securității avansate pe GitHub

Capabilitățile Advanced Security GitHub sunt acum livrate prin două produse principale:

  • GitHub Code Security (detectarea și remedierea vulnerabilităților)
  • GitHub Secret Protection (detectarea și prevenirea secretelor)

Împreună, aceste produse oferă o platformă de securitate mai largă care depășește setul original de funcții Advanced Security al GitHub.

Disponibilitatea caracteristicilor

Tabelul următor rezumă disponibilitatea funcționalităților de securitate GitHub între tipurile de depozite și produse.

caracteristicii depozit public Depozit privat Securitatea codului GitHub Protecția Secretă GitHub
Scanarea codurilor (CodeQL) Da Nu Da Nu
Copilot Autofix Da (limitat) Nu Da Nu
Revizuire dependență Da Nu Da Nu
Alerte Dependabot Da Da Da Nu
Regulile de auto-triaj Dependabot Nu Nu Da Nu
Campanii de securitate Nu Nu Da Nu
Prezentare generală securitate Nu Nu Da Nu
Scanare secretă Da (de bază) Nu Nu Da
Protecție la împingere Nu Nu Nu Da
Modele secrete personalizate Nu Nu Nu Da

Așa cum este prezentat în tabelul anterior, multe funcții de securitate de bază — inclusiv scanarea codului, scanarea secretelor de bază, revizuirea dependențelor și alertele Dependabot — sunt disponibile implicit pentru depozitele publice de pe GitHub.com. Capabilitățile avansate pentru depozitele private și interne necesită echipa GitHub Enterprise Cloud sau GitHub cu securitatea codului GitHub și/sau GitHub Secret Protection activate.

GitHub Code Security și GitHub Secret Protection oferă următoarele capabilități îmbunătățite pentru depozitele private și interne:

  • Scanarea codului (CodeQL): Detectează automat vulnerabilitățile și erorile de codare și suportă remedieri asistate de AI prin Copilot Autofix (acolo unde este activat).
  • Scanare secretă: Detectează secretele expuse în cod, blochează scurgerile cu protecție push, suportă modele secrete personalizate și oferă fluxuri de lucru îmbunătățite pentru alertare și remediere.
  • Revizuirea dependenței: Arată impactul modificărilor de dependență și evidențiază versiunile vulnerabile înainte ca pull request-urile să fie combinate.
  • Prezentare generală a securității: Oferă vizibilitate la nivelul întregii organizații asupra posturii de securitate, riscurilor și alertelor la nivel de depozit.
  • Campanii de securitate: Permite organizațiilor să grupeze, să prioritizeze și să remedieze sistematic mai multe alerte de securitate între depozite, ajutând echipele să reducă vulnerabilitățile mai rapid și la scară largă.

Note cheie

GitHub a evoluat dintr-un singur pachet GitHub Advanced Security într-o platformă modulară formată din:

  • Securitatea codului GitHub
  • Protecția Secretă GitHub

Alte puncte importante includ:

  • Depozitele publice continuă să primească o bază solidă de funcționalități gratuite de securitate.
  • Funcționalitățile avansate se concentrează pe prevenție (cum ar fi protecția la împingere), automatizare și remedierea asistată de AI.

Securitate avansată GitHub în ciclul de viață al dezvoltării software-ului

Ce diferență fac funcțiile Advanced Security de pe GitHub în ciclul de viață al dezvoltării software? Să analizăm mai întâi un scenariu de securitate de bază.

Diagramă care arată o reprezentare a diferitelor etape ale ciclului de viață al dezvoltării software într-o abordare tradițională de securitate.

Acest exemplu ilustrează o abordare tradițională de securitate ca poartă , unde unul sau mai multe teste de securitate au loc în faza de asigurare a calității. În acest scenariu, securitatea devine adesea un blocaj care întârzie livrarea software-ului. Multe organizații abordează această provocare mutând securitatea spre stânga.

Acum, să vedem același ciclu de viață al dezvoltării software-ului cu GitHub Advanced Security.

Diagramă reprezentând diferitele etape ale ciclului de viață al dezvoltării software-ului cu GitHub Advanced Security.

În acest scenariu, securitatea este integrată de la început prin politici de securitate configurate în timpul configurării proiectului. Dezvoltatorii primesc feedback de securitate pe tot parcursul procesului de dezvoltare.

  • Scanarea codului: Scanează fiecare commit și fuziune pentru vulnerabilități și erori de codare.
  • Scanare secretă: Scanează fiecare commit și fuziune pentru secrete angajate accidental, cum ar fi token-uri și chei private.
  • Revizuirea dependenței: Monitorizează modificările dependențelor și evaluează impactul acestora asupra securității proiectului prin compararea fișierelor manifest cu baze de date cu vulnerabilități cunoscute la fiecare pull request.

În plus, Security Overview oferă administratorilor o perspectivă la nivel înalt asupra posturii de securitate a organizației. Această perspectivă ajută la identificarea depozitelor care necesită atenție sau remediere.

Deoarece verificările de securitate au loc pe tot parcursul ciclului de viață al dezvoltării, problemele potențiale sunt identificate și rezolvate mai devreme. Această abordare reduce blocajele în asigurarea calității și minimizează datoria tehnică înainte de lansarea software-ului.