ما هو GitHub Advanced Security؟
يحتوي GitHub على العديد من الميزات التي تساعدك على تحسين جودة التعليمات البرمجية الخاصة بك والحفاظ عليها. يتم تضمين بعض هذه الميزات في جميع الخطط، مثل الرسم البياني للتبعية وتنبيهات Dependabot. تعمل المستودعات الأخرى فقط في وضع وظائف محدود على المستودعات العامة. هناك أيضا أخرى تتطلب ترخيص GitHub Advanced Security للتشغيل على المستودعات الخاصة.
في هذه الوحدة، ستتعرف على المزيد حول GitHub Advanced Security وتكتشف كيف يبدو مشروع مع GitHub Advanced Security.
ميزات GitHub Advanced Security
يلخص الجدول التالي توفر ميزات GitHub Advanced Security على المستودعات العامة والخاصة.
| ميزة | مستودع عام | مستودع خاص بدون الأمان المتقدم | مستودع خاص مع الأمان المتقدم |
|---|---|---|---|
| مسح التعليمات البرمجية | نعم | لا | نعم |
| مسح البيانات السرية | نعم (وظائف محدودة فقط) | لا | نعم |
| مراجعة التبعية | نعم | لا | نعم |
| نظرة عامة على الأمان | لا | لا | نعم |
كما هو موضح في الجدول السابق، يتم تمكين جميع ميزات GitHub Advanced Security باستثناء نظرة عامة على الأمان بشكل افتراضي لجميع المستودعات العامة على GitHub.com. للوصول إلى هذه الميزات على المستودعات الخاصة والداخلية، تحتاج إلى حساب مؤسسة GitHub مع ترخيص GitHub Advanced Security.
يوفر ترخيص GitHub Advanced Security هذه الميزات للمستودعات الخاصة والداخلية:
- فحص التعليمات البرمجية: يكشف تلقائيا عن الثغرات الأمنية الشائعة وأخطاء الترميز.
- مسح البيانات السرية: يتلقى التنبيهات عند إيداع الأسرار أو المفاتيح، ويستبعد الملفات من الفحص، ويحدد ما يصل إلى 100 نمط مخصص.
- مراجعة التبعية: يعرض التأثير الكامل للتغييرات على التبعيات ويرى تفاصيل أي إصدارات ضعيفة قبل دمج طلب سحب.
- نظرة عامة على الأمان: يراجع تكوين الأمان والتنبيهات للمؤسسة ويحدد المستودعات الأكثر عرضة للخطر.
GitHub Advanced Security في دورة حياة تطوير البرامج
فما الفرق الذي تحدثه ميزات GitHub Advanced Security في دورة حياة تطوير البرامج؟ دعونا نلقي نظرة على سيناريو الأمان الأساسي أولا.
يوضح هذا المثال الأمان التقليدي كنهج بوابة ، حيث يتم إجراء اختبار أمان واحد أو سلسلة من اختبارات الأمان أثناء مرحلة ضمان الجودة. في هذا السيناريو، عادة ما ينتهي الأمر بالأمان إلى ازدحام شحن البرنامج. هذا الموقف هو ما تريد شركتك إصلاحه عن طريق تغيير الأمان المتبقي.
الآن، دعونا ننظر إلى نفس دورة حياة تطوير البرامج باستخدام GitHub Advanced Security.
في هذا السيناريو، يتم إعداد الأمان مباشرة من البداية من خلال نهج الأمان في مرحلة تكوين المشروع. يتم تنبيه المطورين من مشكلات الأمان المحتملة في كل خطوة من خطوات عملية التطوير:
- فحص التعليمات البرمجية: يفحص عند كل تثبيت ودمج بحثا عن الثغرات الأمنية المحتملة وأخطاء الترميز.
- مسح البيانات السرية: يفحص عند كل تثبيت ودمج الرموز المميزة والمفاتيح الخاصة التي تم الالتزام بها عن طريق الخطأ.
- مراجعة التبعية: يتعقب تغييرات تبعية المشروع وتأثيرها على أمان المشروع. يقارن ملفات بيان المستودع بقواعد البيانات الخاصة بالثغرات الأمنية المعروفة في كل طلب سحب.
بالإضافة إلى ذلك، توفر نظرة عامة على أمان للمسؤولين طريقة عرض عالية المستوى لحالة أمان المشروع. تتيح طريقة العرض هذه للمسؤولين تحديد المستودعات المسببة للمشاكل التي تتطلب تدخلا.
تتم مراجعة أمان التعليمات البرمجية الخاصة بك عدة مرات قبل الوصول إلى مرحلة ضمان الجودة، لذلك هناك فرصة أقل لاختناق قبل الشحن مباشرة، وديون تقنية أقل.