Implementujte upozornění a aktualizace zabezpečení GitHub Dependabot

  • 10 min

GitHub Dependabot poskytuje automatizovanou správu závislostí integrovanou přímo do úložišť GitHub. Dependabot monitoruje závislosti na ohroženích zabezpečení a zastaralých verzích, upozorňování správce úložišť a automatické vytváření žádostí o přijetí změn pro aktualizaci ohrožených nebo zastaralých závislostí. Tato integrace zpřístupňuje zabezpečení závislostí všem uživatelům GitHubu bez nutnosti samostatných nástrojů.

Porozumění GitHub Dependabot

GitHub Dependabot se skládá ze tří hlavních funkcí, které spolupracují na zabezpečení závislostí:

Upozornění Dependabotu

Upozornění Dependabota upozorňují správce úložišť na zjištění ohrožených závislostí. GitHub nepřetržitě monitoruje databázi poradce GitHubu a další zdroje ohrožení zabezpečení a porovnává je se závislostmi používanými v úložištích.

Triggery upozornění:

  • Nově odhalené zranitelnosti: Výstrahy se vytvoří při přidání nových zranitelností do databáze poradenských hlášení GitHubu.
  • Aktualizace rady: Existující výstrahy se aktualizují, když se změní informace o ohrožení zabezpečení (závažnost, ovlivněné verze, opravy).
  • Změny grafu závislostí: Když změny kódu zavádějí ohrožené závislosti, vygenerují se nová upozornění.
  • Data o zranitelnostech společnosti Mend: Další zpravodajské informace o zranitelnostech z Mendu (dříve WhiteSource) doplňují databázi doporučení GitHubu.

Mezi informace o upozornění patří:

  • Popis ohrožení zabezpečení: Podrobné vysvětlení problému se zabezpečením
  • Úroveň závažnosti: Klasifikace skóre a závažnosti CVSS (kritická, vysoká, střední, nízká).
  • Ovlivněné verze: Které verze závislostí obsahují ohrožení zabezpečení.
  • Opravené verze: Které verze opravují ohrožení zabezpečení.
  • Identifikátor CVE: Identifikátor „Běžné chyby a zranitelnosti“ (Common Vulnerabilities and Exposures), pokud je k dispozici.
  • Klasifikace CWE: Společný typ výčtu slabosti (CWE) kategorizuje ohrožení zabezpečení.
  • Odkaz na poradce pro zabezpečení GitHubu: Odkaz na úplné rady s dalšími podrobnostmi.

Aktualizace zabezpečení Dependabot

Aktualizace zabezpečení Dependabot automaticky generují pull requesty, které aktualizují zranitelné závislosti na zabezpečené verze. Když výstrahy Dependabotu detekují ohrožení zabezpečení s dostupnými opravami, aktualizace zabezpečení můžou automaticky generovat žádosti o přijetí změn opravující ohrožení zabezpečení.

Automatické vytvoření pull requestu:

  • Aktivované ohrožení zabezpečení: Aktualizace zabezpečení vytvářejí žádosti o přijetí změn pouze v případě, že se zjistí ohrožení zabezpečení, ne pro každou aktualizaci závislostí.
  • Minimální zvýšení verze: Pull requesty aktualizují závislosti na minimální verzi, která řeší zranitelnost při zachování kompatibility.
  • Skóre kompatibility: GitHub vypočítá skóre kompatibility, které předpoví, jestli aktualizace přeruší stávající funkce.
  • Poznámky k verzi: Pull requesty zahrnují poznámky k verzi a informace o změnách z aktualizovaných závislostí.

Funkce pull requestů:

  • Automatizované testování: Žádosti o přijetí změn spouští stávající CI/CD kanály, aby ověřily, že aktualizace nenarušují funkčnost.
  • Řešení ohrožení zabezpečení: Popisy žádostí o přijetí změn vysvětlují, která ohrožení zabezpečení řeší aktualizace.
  • Příkazy pro aktualizaci: Speciální komentáře umožňují udržovatelům řídit časování sloučení, převést žádosti o přijetí změn nebo ignorovat konkrétní aktualizace.
  • Seskupené aktualizace: V případě potřeby je možné aktualizovat několik ohrožených závislostí v jedné žádosti o přijetí změn.

Aktualizace verzí Dependabotu

Aktualizace verzí Dependabot udržují závislosti aktuální i v případě, že nejsou k dispozici žádná ohrožení zabezpečení. Na rozdíl od aktualizací zabezpečení, které aktualizují pouze ohrožené závislosti, aktualizace verzí aktivně aktualizují závislosti na nejnovějších verzích na základě nakonfigurovaných plánů.

Plánované aktualizace:

  • Konfigurovatelná frekvence: Aktualizace se dají naplánovat každý den, týdně nebo měsíčně.
  • Strategie aktualizace: Nakonfigurujte, jestli chcete aktualizovat všechny závislosti, pouze přímé závislosti nebo konkrétní skupiny závislostí.
  • Omezení verzí: Respektují sémantická omezení správy verzí definovaná v souborech manifestu.
  • Omezení žádostí o přijetí změn: Určete, kolik otevřených žádostí o přijetí změn Dependabot vytváří, aby nedocházelo k přetížení správců.

Povolení upozornění Dependabotu

Upozornění Dependabot jsou ve výchozím nastavení povolená pro veřejná úložiště, ale musí být pro privátní úložiště povolená ručně.

Povolení upozornění pro úložiště

Navigace:

  1. Přejděte do úložiště na GitHubu.
  2. V nabídce úložiště klikněte na Nastavení .
  3. Na levém bočním panelu klikněte na Zabezpečení a analýza.
  4. Vyhledejte sekci upozornění Dependabot.
  5. Kliknutím na Povolit aktivujete upozornění Dependabot.

Požadavek na graf závislostí: Upozornění Dependabot vyžadují povolení grafu závislostí. Graf závislostí je automaticky povolený pro veřejná úložiště, ale může vyžadovat ruční aktivaci privátních úložišť.

Povolit graf závislostí:

  1. V nastavení → Zabezpečení a analýzu vyhledejte graf závislostí.
  2. Klepněte na tlačítko Povolit , pokud graf závislostí ještě není aktivní.
  3. GitHub začne analyzovat závislosti úložiště pro sestavení grafu závislostí.

Povolení pro celou organizaci

Správci organizace můžou povolit upozornění Dependabot ve všech úložištích:

Nastavení organizace:

  1. Přejděte do nastavení organizace.
  2. Klikněte na Zabezpečení a analýza v levém postranním panelu.
  3. Klikněte na Povolit všechny vedle výstrah Dependabot pro aktivaci výstrah u všech aktuálních a budoucích úložišť.
  4. Volitelně můžete pro nová úložiště vybrat možnost Automaticky povolit výstrahy pro nově vytvořená úložiště.

Podporované ekosystémy balíčků

Upozornění Dependabot podporují řadu ekosystémů balíčků, mezi které patří:

Podporované ekosystémy:

  • JavaScript: npm (package.json, package-lock.json), Yarn (yarn.lock).
  • Python: pip (requirements.txt, Pipfile, Pipfile.lock), Poetry (poetry.lock).
  • Ruby: Bundler (Gemfile, Gemfile.lock).
  • Java: Maven (pom.xml), Gradle (build.gradle, build.gradle.kts).
  • .NET: NuGet (*.csproj, packages.config, paket.dependencies).
  • Jít: Moduly Go (go.mod, go.sum).
  • PHP: Composer (composer.json, composer.lock).
  • Rust: Cargo (Cargo.toml, Cargo.lock).
  • Elixír: „Mix“ (mix.exs, mix.lock).
  • Dart/Flutter: pub (pubspec.yaml, pubspec.lock).
  • Docker: Soubory Dockerfile (odkazy na základní image)
  • GitHub Actions: Soubory pracovního postupu (verze akcí).
  • Terraform: Konfigurace Terraformu (verze modulů).

Konfigurace aktualizací zabezpečení Dependabot

Aktualizace zabezpečení Dependabot vyžadují explicitní povolení, i když jsou upozornění povolená.

Povolení aktualizací zabezpečení

Konfigurace úložiště:

  1. Přejděte na Nastavení → Zabezpečení a analýza.
  2. Vyhledejte aktualizace zabezpečení Dependabot.
  3. Klikněte na Povolit pro aktivaci automatických žádostí o přijetí změn aktualizace zabezpečení.
  4. Dependabot začne sledovat ohrožené závislosti a vytvářet pull requesty, jakmile budou k dispozici opravy.

Konfigurace pro celou organizaci:

  1. Přejděte do nastavení organizace → Zabezpečení a analýza.
  2. Klikněte na Povolit všechny vedle aktualizací zabezpečení Dependabot.
  3. Pro budoucí úložiště vyberte Automaticky aktivovat pro nová úložiště.

Chování aktualizace zabezpečení

Automatické vytvoření pull requestu:

  • Detekce ohrožení zabezpečení: Když výstrahy Dependabotu zjistí ohroženou závislost s dostupnou opravou, aktualizace zabezpečení vytvoří žádost o přijetí změn.
  • Minimální aktualizace: Žádosti o přijetí změn se aktualizují jenom na minimální verzi, která řeší ohrožení zabezpečení.
  • Sémantická správa verzí: Aktualizace respektují sémantickou správu verzí, dávají přednost aktualizacím oprav před dílčími nebo hlavními aktualizacemi, pokud je to možné.
  • Testování integrace: Pull requesty aktivují stávající kontroly CI/CD za účelem ověření aktualizací.

Skóre kompatibility: GitHub vypočítá skóre kompatibility označující pravděpodobnost, že aktualizace přeruší stávající funkce:

  • Vysoká kompatibilita: Aktualizace je pravděpodobně bezpečná na základě analýzy podobných úložišť.
  • Střední kompatibilita: Aktualizace může představovat zásadní změny, které vyžadují kontrolu.
  • Nízká kompatibilita: Aktualizace pravděpodobně zahrnuje zásadní změny, které vyžadují úpravy kódu.
  • Neznámá kompatibilita: Nedostatečná data k vyhodnocení kompatibility.

Správa pull requestů:

  • Automatické přebázování: Když se základní větev změní, Dependabot automaticky znovu přebázuje pull requesty.
  • Řešení konfliktů: Pull requesty se zavřou, pokud konflikty brání automatickému rebasování.
  • Aktualizace nahrazení: Nové pull requesty nahrazují starší pull requesty při vydání novějších verzí.
  • Plánované aktualizace: Požadavky na úpravy se vytvářejí podle nakonfigurovaných plánů, aby nedocházelo k zahlcení správců.

Konfigurace aktualizací verzí Dependabotu

Aktualizace verzí vyžadují konfigurační soubor definující plány a chování aktualizací.

Vytvořit konfiguraci dependabot.yml

Aktualizace verzí se konfigurují pomocí .github/dependabot.yml souboru v úložišti:

Základní konfigurace:

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "weekly"
    open-pull-requests-limit: 10

Možnosti konfigurace:

  • verze: Verze schématu konfiguračního souboru (vždy 2).
  • Aktualizace: Pole konfigurací aktualizací pro různé ekosystémy balíčků
  • ekosystém balíčků: Správce balíčků pro monitorování (npm, pip, bundler, maven, nuget atd.).
  • adresář: Umístění souborů manifestu balíčku (/ pro kořenovou nebo podadresářovou cestu).
  • schedule.interval: Četnost aktualizací (denně, týdně, měsíčně).
  • open-pull-requests-limit: Maximální počet otevřených pull requestů, které Dependabot vytvoří (výchozí hodnota je 5).

Příklad rozšířené konfigurace:

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "weekly"
      day: "monday"
      time: "08:00"
      timezone: "America/New_York"
    open-pull-requests-limit: 10
    reviewers:
      - "team/frontend-developers"
    assignees:
      - "dependency-manager"
    labels:
      - "dependencies"
      - "npm"
    commit-message:
      prefix: "npm"
      include: "scope"
    ignore:
      - dependency-name: "lodash"
        versions: ["4.x"]
    allow:
      - dependency-type: "production"

Upřesnit možnosti:

  • schedule.day: Den v týdnu, kdy probíhají týdenní aktualizace (od pondělí do neděle).
  • schedule.time: Denní doba aktualizací (formát 24 hodin)
  • schedule.timezone: Časové pásmo pro plán (identifikátor IANA timezone).
  • recenzenti: Uživatelé nebo týmy GitHubu automaticky vyzvané ke kontrole žádostí o schválení změn.
  • Přiřazení: Uživatelé GitHubu, kteří jsou automaticky přiřazeni k pull requestům.
  • popisky: Popisky se automaticky aplikují na pull requesty.
  • commit-message.prefix: Předpona pro potvrzovací zprávy (užitečné pro konvenční potvrzení)
  • ignorovat: Závislosti, které se mají ignorovat, volitelně s konkrétními rozsahy verzí.
  • povolit: Typy závislostí, které se mají aktualizovat (produkční, vývoj, vše).

Několik ekosystémů balíčků

Úložiště využívající více jazykových ekosystémů vyžadují samostatné konfigurace aktualizací:

Konfigurace více ekosystémů:

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/frontend"
    schedule:
      interval: "weekly"

  - package-ecosystem: "pip"
    directory: "/backend"
    schedule:
      interval: "weekly"

  - package-ecosystem: "docker"
    directory: "/"
    schedule:
      interval: "weekly"

  - package-ecosystem: "github-actions"
    directory: "/"
    schedule:
      interval: "monthly"

Tato konfigurace monitoruje závislosti npm v /frontend, závislosti Pythonu v /backend, základní obrazy Dockeru napříč celým úložištěm a verze GitHub Actions v pracovních postupech.

Správa pull requestů Dependabot

Žádosti o přijetí změn Dependabot podporují speciální příkazy pro správu aktualizací.

Příkazy pro požadavek na změnu

Příkazy pro komentáře:

  • @dependabot rebase: Přebázeujte žádost o začlenění změn na aktuální základní větev.
  • @dependabot recreate: Znovu vytvořte žádost o přijetí změn přepsáním všech ručních úprav.
  • @dependabot merge: Sloučit pull request, jakmile CI projde.
  • @dependabot squash and merge: Sloučte commity a proveďte merge, jakmile projdou kontroly.
  • @dependabot cancel merge: Zrušit dříve požadované sloučení.
  • @dependabot reopen: Znovu otevřete uzavřený pull request.
  • @dependabot close: Zavřete pull request a zabraňte Dependabotovi v jeho opětovném vytvoření.
  • @dependabot ignore this major version: Zavřete žádost o přijetí změn a ignorujte budoucí aktualizace této hlavní verze.
  • @dependabot ignore this minor version: Zavřete pull request a ignorujte budoucí aktualizace této vedlejší verze.
  • @dependabot ignore this dependency: Zavřete žádost o přijetí změn a ignorujte všechny budoucí aktualizace této závislosti.

Kontrola a sloučení aktualizací

Proces kontroly:

  1. Prozkoumání popisu žádosti o přijetí změn: Zjistěte, která chyba zabezpečení je vyřešená nebo která verze se aktualizuje.
  2. Zkontrolovat skóre kompatibility: Posoudit pravděpodobnost zlomových změn.
  3. Kontrola výsledků CI/CD: Ověřte, že automatizované testy úspěšně projdou.
  4. Přečtěte si poznámky k verzi: Prostudujte změny zahrnuté v aktualizaci závislostí.
  5. V případě potřeby proveďte místní testování: U hlavních aktualizací otestujte funkčnost místně před sloučením.
  6. Sloučení žádosti o přijetí změn: Schválit a sloučit žádost o přijetí změn za účelem aktualizace závislosti

Automatické slučování: U aktualizací s nízkým rizikem s vysokým skóre kompatibility a výsledky testů zvažte konfiguraci automatického slučování:

Automatické sloučení GitHub Actions:

name: Auto-merge Dependabot PRs
on: pull_request

jobs:
  auto-merge:
    runs-on: ubuntu-latest
    if: github.actor == 'dependabot[bot]'
    steps:
      - name: Enable auto-merge
        run: gh pr merge --auto --squash "$PR_URL"
        env:
          PR_URL: ${{ github.event.pull_request.html_url }}
          GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}

Tento pracovní postup automaticky zapne automatické sloučení pro pull requesty Dependabot, které projdou všemi požadovanými kontrolami.

Upozornění a oznámení Dependabotu

Dependabot poskytuje několik mechanismů oznámení pro výstrahy ohrožení zabezpečení.

Kanály oznámení

Webová oznámení:

  • Oznámení GitHubu: Upozornění se zobrazí ve složce Doručená pošta oznámení GitHubu.
  • Karta Zabezpečení: Výstrahy jsou viditelné na kartě Zabezpečení úložiště v části Upozornění Dependabot.
  • Přehledy úložiště: Na kartě Přehledy je graf závislostí, který ukazuje ohrožené závislosti.

E-mailová oznámení:

  • Shrnutí e-mailů: Týdenní souhrnné e-maily se seznamem nových upozornění.
  • E-maily v reálném čase: Okamžité e-maily týkající se kritických ohrožení zabezpečení
  • Oznámení organizace: Správci organizace obdrží oznámení pro všechna úložiště.

Vlastní oznámení:

  • Webhooky: Nakonfigurujte webhooky tak, aby dostávaly oznámení výstrah v externích systémech.
  • Rozhraní API GitHubu: Dotazujte se na rozhraní API upozornění Dependabot, abyste programově načetli informace o upozorněních.
  • Integrace zabezpečení: Platformy zabezpečení třetích stran se můžou integrovat s upozorněními Dependabot prostřednictvím rozhraní API.

Konfigurace předvoleb oznámení

Nastavení oznámení uživatele:

  1. Přejděte do nastavení GitHubu → oznámení.
  2. Vyhledejte část Výstrahy zabezpečení .
  3. Konfigurace předvoleb oznámení:
    • Účast: Budete dostávat oznámení o repozitářích, která sledujete nebo se jich účastníte.
    • Sledování: Přijímat oznámení pro všechna sledované úložiště
    • E-mail: Povolte e-mailová oznámení pro výstrahy zabezpečení.
    • Web: Povolení webových oznámení v uživatelském rozhraní GitHubu

Nastavení oznámení organizace:

  1. Přejděte do nastavení organizace → Zabezpečení a analýza.
  2. Nakonfigurujte, kdo přijímá oznámení výstrah zabezpečení:
    • Vlastníci organizace: Automaticky obdrží všechny výstrahy zabezpečení.
    • Správci zabezpečení: Určený bezpečnostní tým přijímá výstrahy.
    • Správci úložiště: Každý správce úložiště obdrží výstrahy pro svá úložiště.

Kontrola upozornění Dependabotu

Karta Zabezpečení poskytuje komplexní správu výstrah.

Podrobnosti výstrahy

Přejděte na upozornění:

  1. Otevřete úložiště na GitHubu.
  2. Klikněte na kartu Zabezpečení.
  3. Na levém bočním panelu klikněte na Upozornění Dependabotu .
  4. Zkontrolujte seznam aktivních výstrah.

Informace o upozornění:

  • Závažnost: Kritická, vysoká, střední nebo nízká klasifikace závažnosti.
  • Balíček: Ovlivněný název a verze závislosti
  • Zranitelnost: Identifikátor a popis CVE
  • Opravené verze: Verze, které tuto chybu zabezpečení řeší.
  • Ohrožené cesty kódu: Jestli se ohrožený kód skutečně používá (pokud je k dispozici analýza dostupnosti).
  • K dispozici automatická oprava: Jestli Dependabot může automaticky vytvořit žádost o přijetí změn, která chybu zabezpečení opraví.

Správa výstrah

Akce upozornění:

  • Kontrola žádosti o přijetí změn: Pokud existuje automatická aktualizace zabezpečení, zkontrolujte a sloučte žádost o přijetí změn.
  • Zavřít upozornění: Zavřít falešně pozitivní výsledky nebo přijatá rizika se zdůvodněním.
  • Upozornění na odložení: Dočasně zavřete výstrahy, které nelze okamžitě vyřešit.
  • Znovu otevřít upozornění: Pokud se změní okolnosti, znovu otevřete dříve zavřené výstrahy.

Důvody propuštění:

  • Oprava byla zahájena: Tým aktivně pracuje na nápravě.
  • Bez šířky pásma: Problém se potvrzuje, ale momentálně se nedá řešit.
  • Přípustné riziko: Zranitelnost v tomto kontextu nepředstavuje významné riziko.
  • Nepřesný: Výstraha je falešně pozitivní.

Integrace funkcí GitHub Advanced Security

GitHub Dependabot je základní komponentou GitHub Advanced Security, komplexní platformy zabezpečení GitHubu, která poskytuje funkce zabezpečení na podnikové úrovni pro ochranu dodavatelského řetězce softwaru.

Pokročilé funkce zabezpečení

Integrované možnosti zabezpečení:

  • Kontrola závislostí: Dependabot automaticky kontroluje závislosti na známých ohroženích zabezpečení pomocí databází poradce GitHubu a databází ohrožení zabezpečení v oboru.
  • Kontrola tajných kódů: Detekuje náhodně potvrzené tajné kódy, tokeny a přihlašovací údaje v kódu a historii úložiště.
  • Kontrola kódu: Používá CodeQL a další analytické moduly k vyhledání ohrožení zabezpečení a chyb kódování ve zdrojovém kódu.
  • Přehled zabezpečení: Poskytuje přehled o výstrahách zabezpečení, ohroženích zabezpečení a stavu nápravy v celé organizaci.
  • Zabezpečení dodavatelského řetězce: Graf závislostí, kontrola závislostí a generování SBOM pro komplexní viditelnost dodavatelského řetězce

Licencování a dostupnost

Rozšířený přístup k zabezpečení:

  • Veřejná úložiště: Všechny funkce GitHub Advanced Security jsou k dispozici zdarma ve veřejných úložištích.
  • Privátní úložiště: Vyžaduje licenci GitHub Advanced Security (součástí GitHub Enterprise Cloudu a GitHub Enterprise Serveru).
  • GitHub Free/Team: K dispozici jsou výstrahy a aktualizace zabezpečení Dependabot, ale kontrola kódu a kontrola tajných kódů vyžadují licencování Advanced Security.

Řídicí panel Přehled zabezpečení

Přehled zabezpečení poskytuje přehled na úrovni organizace:

Metriky zabezpečení organizace:

  • Trendy výstrah: Umožňuje zobrazit trendy výstrah zabezpečení ve všech úložištích v průběhu času.
  • Hodnocení rizika: Identifikujte úložiště s nejvyšším rizikem zabezpečení na základě kritických a vysoce závažných výstrah.
  • Pokrytí týmu: Monitorujte, které týmy mají povolené funkce zabezpečení, a sledujte průběh nápravy.
  • Vytváření sestav dodržování předpisů: Generování sestav pro požadavky na dodržování předpisů a audit zabezpečení

Přehled zabezpečení přístupu:

  1. Přejděte do vaší organizace na GitHubu.
  2. Klikněte na kartu Zabezpečení.
  3. Zkontrolujte metriky zabezpečení, počty výstrah a trendy pro celou organizaci.
  4. Podrobně prozkoumejte konkrétní úložiště nebo typy výstrah pro podrobné zkoumání.

Povolení rozšířeného zabezpečení

Vlastníci organizace:

  1. Přejděte do nastavení organizace.
  2. Klikněte na Zabezpečení a analýza kódu.
  3. Povolte GitHub Advanced Security pro privátní úložiště.
  4. Nakonfigurujte výchozí nastavení pro:
    • Graf závislostí (automaticky povolený)
    • Upozornění Dependabotu.
    • Aktualizace zabezpečení Dependabot.
    • Skenování tajných informací.
    • Kontrola kódu (vyžaduje konfiguraci pracovního postupu).

Povolení na úrovni úložiště:

Jednotlivá úložiště můžou povolit nebo zakázat funkce Rozšířené zabezpečení:

  1. Přejděte do Nastavení úložiště.
  2. Klikněte na Zabezpečení a analýza kódu.
  3. Povolte požadované funkce zabezpečení:
    • Graf závislostí: Požadováno pro funkci Dependabot.
    • Upozornění Dependabotu: Oznámení o ohrožení zabezpečení
    • Aktualizace zabezpečení Dependabot: Automatické žádosti o přijetí změn na opravu zranitelností.
    • Kontrola tajných kódů: Detekce úniku přihlašovacích údajů
    • Kontrola kódu: Testování zabezpečení statických aplikací (SAST)

Integrace s pracovními postupy vývoje

GitHub Advanced Security se bezproblémově integruje s vývojovými procesy:

Integrace pull requestů:

  • Kontrola závislostí: Automaticky kontroluje změny závislostí v žádostech o přijetí změn a zvýrazňuje nová ohrožení zabezpečení zavedená aktualizacemi závislostí.
  • Kontroly zabezpečení: Při žádostech o přijetí změn se automaticky spustí kontrola kódu a kontrola tajných kódů, které blokují sloučení, pokud se najdou kritické problémy.
  • Požadované posouzení: Nakonfigurujte pravidla ochrany větví tak, aby vyžadovala schválení bezpečnostního týmu pro žádosti o přijetí změn obsahující upozornění na zabezpečení.

Zásady zabezpečení:

  • SECURITY.md: Definujte zásady zveřejňování zranitelností a kontaktní informace pro zabezpečení.
  • Vlastníci kódu: Přiřaďte členy bezpečnostního týmu jako vlastníky kódu pro soubory závislostí (package.json, requirements.txt, pom.xml).
  • Ochrana větví: Vyžadovat kontrolu stavu bezpečnostních skenů před povolením sloučení.

Audit a dodržování předpisů:

  • Protokol auditu: Sledujte všechny akce související se zabezpečením, včetně zavření výstrah, povolení funkcí a změn přístupu.
  • Zásady zabezpečení: Vynucujte standardy zabezpečení pro celou organizaci ve všech úložištích.
  • Integrace dodržování předpisů: Export dat zabezpečení pro SOC 2, ISO 27001 a další architektury dodržování předpisů.

GitHub Advanced Security poskytuje ochranu na podnikové úrovni vašeho softwarového dodavatelského řetězce pomocí Dependabotu, který slouží jako základ pro správu zabezpečení závislostí. Integrovaný přístup platformy zajišťuje komplexní detekci ohrožení zabezpečení, automatizovanou nápravu a viditelnost zabezpečení na úrovni celé organizace.

GitHub Dependabot poskytuje komplexní automatizovanou správu zabezpečení závislostí integrovanou přímo do pracovních postupů GitHubu. Díky povolení výstrah, aktualizací zabezpečení a verzí mohou vývojové týmy aktivně řešit zranitelnosti a udržovat závislosti aktuální s minimálním ručním úsilím. V další lekci se dozvíte, jak integrovat kontroly analýzy softwarového složení do kanálů CI/CD nad rámec integrovaných funkcí GitHubu.