Implementer GitHub Dependabot-beskeder og sikkerhedsopdateringer

  • 10 minutter

GitHub Dependabot leverer automatiseret afhængighedsstyring integreret direkte i GitHub-lagre. Dependabot overvåger afhængigheder for sikkerhedssårbarheder og forældede versioner, advarer lagervedligeholdere og opretter automatisk pull-anmodninger for at opdatere sårbare eller forældede afhængigheder. Denne integration gør afhængighedssikkerhed tilgængelig for alle GitHub-brugere uden at kræve separate værktøjer.

Forståelse af GitHub Dependabot

GitHub Dependabot består af tre hovedfunktioner, der arbejder sammen for at sikre afhængigheder:

Dependabot-beskeder

Dependabot-advarsler giver lagervedligeholdere besked, når sårbare afhængigheder registreres. GitHub overvåger løbende GitHub Advisory Database og andre sårbarhedskilder og sammenligner dem med afhængigheder, der bruges i lagre.

Udløsere af advarsler:

  • Nye afsløringer af sårbarheder: Der oprettes beskeder, når der føjes nye sårbarheder til GitHub Advisory Database.
  • Opdateringer af bulletinen: Eksisterende beskeder opdateres, når oplysninger om sårbarheder ændres (alvorsgrad, berørte versioner, programrettelser).
  • Ændringer i afhængighedsgrafen: Der genereres nye beskeder, når kodeændringer introducerer sårbare afhængigheder.
  • Ret sårbarhedsdata: Yderligere sårbarhedsintelligens fra Mend (tidligere WhiteSource) supplerer GitHub Advisory Database.

Advarselsoplysninger omfatter:

  • Beskrivelse af sårbarhed: Detaljeret forklaring af sikkerhedsproblemet.
  • Alvorlighedsgrad: CVSS-score og sværhedsgradsklassificering (kritisk, høj, moderat, lav).
  • Berørte versioner: Hvilke afhængighedsversioner indeholder sårbarheden.
  • Patchede versioner: Hvilke versioner løser sårbarheden.
  • CVE-id: CVE-identifikator (Common Vulnerabilities and Exposures), når den er tilgængelig.
  • CWE klassificering: Common Weakness Enumeration (CWE)-type, der kategoriserer sårbarheden.
  • Link til GitHub-sikkerhedsrådgivning: Link til fuld rådgivning med yderligere oplysninger.

Dependabot-sikkerhedsopdateringer

Dependabot-sikkerhedsopdateringer opretter automatisk pullanmodninger for at opdatere sårbare afhængigheder til sikre versioner. Når Dependabot-advarsler opdager sårbarheder med tilgængelige patches, kan sikkerhedsopdateringer automatisk generere pull-anmodninger, der løser sårbarhederne.

Automatisk oprettelse af pullanmodning:

  • Sårbarhed udløst: Sikkerhedsopdateringer opretter kun pullanmodninger, når der registreres sikkerhedssårbarheder, ikke for alle afhængighedsopdateringer.
  • Minimale versionsbump: Pull-anmodninger opdaterer afhængigheder til den minimumsversion, der løser sårbarheden, samtidig med at kompatibiliteten opretholdes.
  • Kompatibilitet scorer: GitHub beregner kompatibilitetsscorer og forudsiger, om opdateringer vil bryde eksisterende funktionalitet.
  • Produktbemærkninger: Pull-anmodninger omfatter produktbemærkninger og oplysninger om ændringslog fra opdaterede afhængigheder.

Funktioner til pull-anmodning:

  • Automatiseret test: Pullanmodninger udløser eksisterende CI/CD-pipelines for at validere, at opdateringer ikke bryder funktionaliteten.
  • Løsning af sårbarheder: Beskrivelser af pullanmodninger forklarer, hvilke sårbarheder der løses af opdateringen.
  • Opdater kommandoer: Særlige kommentarer gør det muligt for vedligeholdere at kontrollere tidspunktet for sammenlægning, ombasere pull-anmodninger eller ignorere specifikke opdateringer.
  • Grupperede opdateringer: Flere sårbare afhængigheder kan opdateres i en enkelt pullanmodning, når det er relevant.

Opdateringer af Dependabot-versioner

Dependabot-versionsopdateringer holder afhængigheder opdaterede, selv når der ikke er nogen sårbarheder. I modsætning til sikkerhedsopdateringer, der kun opdaterer sårbare afhængigheder, opdaterer versionsopdateringer proaktivt afhængigheder til de nyeste versioner baseret på konfigurerede tidsplaner.

Planlagte opdateringer:

  • Konfigurerbar frekvens: Opdateringer kan planlægges dagligt, ugentligt eller månedligt.
  • Opdater strategier: Konfigurer, om alle afhængigheder skal opdateres, kun direkte afhængigheder eller bestemte afhængighedsgrupper.
  • Begrænsninger for versioner: Overhold begrænsninger for semantisk versionsstyring, der er defineret i manifestfiler.
  • Grænser for pull-anmodninger: Kontroller, hvor mange åbne pull-anmodninger Dependabot opretter for at undgå overvældende vedligeholdere.

Aktivering af Dependabot-advarsler

Dependabot-beskeder er som standard aktiveret for offentlige lagre, men skal aktiveres manuelt for private lagre.

Aktivere beskeder for et lager

Navigering:

  1. Gå til lageret på GitHub.
  2. Klik på Indstillinger i lagermenuen.
  3. Klik på Sikkerhed og analyse i venstre sidepanel.
  4. Find afsnittet Dependabot-advarsler .
  5. Klik på Aktiver for at aktivere Dependabot-advarsler.

Krav til afhængighedsgraf: Dependabot-beskeder kræver, at afhængighedsgrafen er aktiveret. Afhængighedsgrafen aktiveres automatisk for offentlige lagre, men kan kræve manuel aktivering for private lagre.

Aktivér afhængighedsgraf:

  1. I Indstillinger → Sikkerhed og analyse skal du finde Afhængighedsgraf.
  2. Klik på Aktivér , hvis afhængighedsgrafen ikke allerede er aktiv.
  3. GitHub begynder at analysere lagerafhængigheder for at opbygge afhængighedsgrafen.

Aktivering af hele organisationen

Organisationsadministratorer kan aktivere Dependabot-beskeder på tværs af alle lagre:

Indstillinger for organisation:

  1. Gå til organisationsindstillinger.
  2. Klik på Sikkerhed og analyse i venstre sidepanel.
  3. Klik på Aktivér alle ud for Dependabot-advarsler for at aktivere advarsler for alle aktuelle og fremtidige lagre.
  4. Du kan også vælge Aktivér automatisk for nye lagre for at aktivere beskeder for nyoprettede lagre.

Understøttede pakkeøkosystemer

Dependabot-advarsler understøtter adskillige pakkeøkosystemer, herunder:

Understøttede økosystemer:

  • JavaScript: npm (package.json, package-lock.json), Garn (yarn.lock).
  • Python: pip (requirements.txt, Pipfile, Pipfile.lock), Poesi (poesi.lock).
  • Rubin: Bundler (Gemfile, Gemfile.lock).
  • Java: Maven (pom.xml), Gradle (build.gradle, build.gradle.kts).
  • .NET: NuGet (*.csproj, packages.config, paket.dependencies).
  • Gå: Go-moduler (go.mod, go.sum).
  • PHP: Komponist (composer.json, composer.lock).
  • Rust: Cargo (Cargo.toml, Cargo.lock).
  • Eliksir: Bland (mix.exs, mix.lock).
  • Dart/Flutter: pub (pubspec.yaml, pubspec.lock).
  • Docker: Dockerfiles (basisbilledreferencer).
  • GitHub-handlinger: Arbejdsprocesfiler (handlingsversioner).
  • Terraform: Terraform-konfiguration (modulversioner).

Konfiguration af Dependabot-sikkerhedsopdateringer

Dependabot-sikkerhedsopdateringer kræver eksplicit aktivering, selv når advarsler er aktiveret.

Aktivere sikkerhedsopdateringer

Konfiguration af lager:

  1. Gå til Indstillinger → Sikkerhed og analyse.
  2. Find Dependabot-sikkerhedsopdateringer.
  3. Klik på Aktivér for at aktivere automatiske pullanmodninger om sikkerhedsopdateringer.
  4. Dependabot begynder at overvåge sårbare afhængigheder og oprette pullanmodninger, når patches er tilgængelige.

Konfiguration for hele organisationen:

  1. Gå til Organisationsindstillinger → Sikkerhed og analyse.
  2. Klik på Aktivér alle ud for Dependabot-sikkerhedsopdateringer.
  3. Vælg Aktivér automatisk for nye lagre, der skal aktiveres for fremtidige lagre.

Funktionsmåde for sikkerhedsopdatering

Automatisk oprettelse af pullanmodning:

  • Registrering af sårbarhed: Når Dependabot-beskeder registrerer en sårbar afhængighed med en tilgængelig patch, opretter sikkerhedsopdateringer en pull-anmodning.
  • Minimale opdateringer: Pull-anmodninger opdateres kun til den minimumversion, der løser sårbarheden.
  • Semantisk versionering: Opdateringer respekterer semantisk versionsstyring og foretrækker patch-opdateringer frem for mindre eller større opdateringer, når det er muligt.
  • Test af integration: Pullanmodninger udløser eksisterende CI/CD-kontroller for at validere opdateringer.

Kompatibilitet scorer: GitHub beregner kompatibilitetsscorer, der angiver sandsynligheden for, at opdateringer bryder eksisterende funktionalitet:

  • Høj kompatibilitet: Opdatering er sandsynligvis sikker baseret på analyse af lignende lagre.
  • Medium kompatibilitet: Opdatering kan medføre vigtige ændringer, der kræver gennemgang.
  • Lav kompatibilitet: Opdateringen omfatter sandsynligvis vigtige ændringer, der kræver kodeændringer.
  • Ukendt kompatibilitet: Utilstrækkelige data til at vurdere kompatibilitet.

Administration af pull-anmodninger:

  • Automatisk rebasering: Dependabot rebaserer automatisk pull-anmodninger, når basisgrenen ændres.
  • Konfliktløsning: Pull-anmodninger lukkes, hvis konflikter forhindrer automatisk rebasering.
  • Erstatter opdateringer: Nye pullanmodninger erstatter ældre pullanmodninger, når nyere versioner frigives.
  • Planlagte opdateringer: Pull-anmodninger oprettes i henhold til konfigurerede tidsplaner for at undgå overvældende vedligeholdere.

Konfiguration af Dependabot-versionsopdateringer

Versionsopdateringer kræver en konfigurationsfil, der definerer opdateringsplaner og funktionsmåde.

Opret dependabot.yml konfiguration

Versionsopdateringer konfigureres ved hjælp af en .github/dependabot.yml fil i lageret:

Grundlæggende konfiguration:

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "weekly"
    open-pull-requests-limit: 10

Konfigurationsmuligheder:

  • version: Konfigurationsfilskemaversion (altid 2).
  • Opdateringer: Matrix af opdateringskonfigurationer til forskellige pakkeøkosystemer.
  • pakke-økosystem: Pakkehåndtering til overvågning (npm, pip, bundler, maven, nuget osv.).
  • mappe: Placering af pakkemanifestfiler (/ for rod eller undermappesti).
  • tidsplan.interval: Opdateringsfrekvens (dagligt, ugentligt, månedligt).
  • åben-pull-anmodninger-grænse: Maksimalt antal åbne pullanmodninger, som Dependabot opretter (standard 5).

Eksempel på avanceret konfiguration:

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/"
    schedule:
      interval: "weekly"
      day: "monday"
      time: "08:00"
      timezone: "America/New_York"
    open-pull-requests-limit: 10
    reviewers:
      - "team/frontend-developers"
    assignees:
      - "dependency-manager"
    labels:
      - "dependencies"
      - "npm"
    commit-message:
      prefix: "npm"
      include: "scope"
    ignore:
      - dependency-name: "lodash"
        versions: ["4.x"]
    allow:
      - dependency-type: "production"

Avancerede indstillinger:

  • Tidsplan.dag: Ugedag for ugentlige opdateringer (mandag til søndag).
  • tidsplan.tid: Tidspunkt på dagen for opdateringer (24-timers format).
  • tidsplan.tidszone: Tidszone for tidsplan (IANA tidszoneidentifikator).
  • Korrekturlæsere: GitHub-brugere eller -teams anmodes automatisk om gennemgang af pullanmodninger.
  • Modtagere: GitHub-brugere tildeles automatisk til pull-anmodninger.
  • Etiketter: Etiketter, der automatisk anvendes på pullanmodninger.
  • commit-message.prefix: Præfiks til commit-meddelelser (nyttigt til konventionelle commits).
  • ignorere: Afhængigheder, der skal ignoreres, eventuelt med specifikke versionsintervaller.
  • tillade: Afhængighedstyper, der skal opdateres (produktion, udvikling, alle).

Flere pakkeøkosystemer

Lagre, der bruger flere sprogøkosystemer, kræver separate opdateringskonfigurationer:

Konfiguration af flere økosystemer:

version: 2
updates:
  - package-ecosystem: "npm"
    directory: "/frontend"
    schedule:
      interval: "weekly"

  - package-ecosystem: "pip"
    directory: "/backend"
    schedule:
      interval: "weekly"

  - package-ecosystem: "docker"
    directory: "/"
    schedule:
      interval: "weekly"

  - package-ecosystem: "github-actions"
    directory: "/"
    schedule:
      interval: "monthly"

Denne konfiguration overvåger npm-afhængigheder i /frontend, Python-afhængigheder i /backend, Docker-basisafbildninger i hele lageret og GitHub Actions-versioner i arbejdsprocesser.

Administration af Dependabot-pullanmodninger

Dependabot-pullanmodninger understøtter særlige kommandoer til administration af opdateringer.

Træk anmodningskommandoer

Kommentar kommandoer:

  • @dependabot rebase: Omlæg pull-anmodningen mod den aktuelle basisgren.
  • @dependabot recreate: Genskab pull-anmodningen, og overskriv eventuelle manuelle redigeringer.
  • @dependabot merge: Flet pull-anmodningen, når CI-kontrollerne er bestået.
  • @dependabot squash and merge: Squash commits og flet, når kontrollen er bestået.
  • @dependabot cancel merge: Annuller en tidligere anmodet fletning.
  • @dependabot reopen: Åbn en lukket pullanmodning igen.
  • @dependabot close: Luk pull-anmodningen, og undgå, at Dependabot genopretter den.
  • @dependabot ignore this major version: Luk pullanmodningen, og ignorer fremtidige opdateringer til denne overordnede version.
  • @dependabot ignore this minor version: Luk pull-anmodningen, og ignorer fremtidige opdateringer til denne underordnede version.
  • @dependabot ignore this dependency: Luk pullanmodningen, og ignorer alle fremtidige opdateringer for denne afhængighed.

Gennemgang og fletning af opdateringer

Gennemgang proces:

  1. Undersøg beskrivelse af pullanmodning: Forstå, hvilken sårbarhed der er løst, eller hvilken version der opdateres.
  2. Anmeldelsens kompatibilitetsscore: Vurder sandsynligheden for brud på ændringer.
  3. Tjek CI/CD-resultater: Kontroller, at automatiserede tests består korrekt.
  4. Gennemgå produktbemærkninger: Forstå ændringer, der er inkluderet i afhængighedsopdateringen.
  5. Test lokalt, hvis det er nødvendigt: For større opdateringer skal du teste funktionaliteten lokalt, før du fletter.
  6. Flet pull-anmodning: Godkend og flet pullanmodningen for at opdatere afhængigheden.

Automatisk fletning: Hvis du vil have opdateringer med lav risiko med høje kompatibilitetsresultater og bestå test, kan du overveje at konfigurere automatisk fletning:

GitHub Actions automatisk fletning:

name: Auto-merge Dependabot PRs
on: pull_request

jobs:
  auto-merge:
    runs-on: ubuntu-latest
    if: github.actor == 'dependabot[bot]'
    steps:
      - name: Enable auto-merge
        run: gh pr merge --auto --squash "$PR_URL"
        env:
          PR_URL: ${{ github.event.pull_request.html_url }}
          GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}

Denne arbejdsgang muliggør automatisk fletning for Dependabot-pullanmodninger, der består alle påkrævede kontroller.

Dependabot-advarsler og meddelelser

Dependabot indeholder flere meddelelsesmekanismer til advarsler om sårbarheder.

Notifikationskanaler

Web-meddelelser:

  • GitHub-meddelelser: Beskeder vises i GitHub-meddelelsesindbakken.
  • Fanen Sikkerhed: Advarsler er synlige under fanen Sikkerhed i lageret under Dependabot-advarsler.
  • Indsigt i lageret: Afhængighedsgrafen under fanen Indsigt viser sårbare afhængigheder.

E-mail-meddelelser:

  • Digest e-mails: Ugentlige oversigtsmails med nye advarsler.
  • E-mails i realtid: Øjeblikkelige e-mails til kritiske sårbarheder.
  • Meddelelser om organisation: Organisationsadministratorer modtager meddelelser for alle lagre.

Brugerdefinerede meddelelser:

  • Webhooks: Konfigurer webhooks til at modtage advarselsmeddelelser i eksterne systemer.
  • GitHub API: Forespørg på Dependabot-besked-API'en for at hente beskedoplysninger programmatisk.
  • Sikkerhedsintegrationer: Tredjeparts sikkerhedsplatforme kan integreres med Dependabot-advarsler via API.

Konfiguration af meddelelsesindstillinger

Indstillinger for brugermeddelelser:

  1. Gå til GitHub-indstillinger → meddelelser.
  2. Find afsnittet Sikkerhedsadvarsler .
  3. Konfigurer meddelelsesindstillinger:
    • Deltagende: Modtag notifikationer om lagre, du ser eller deltager i.
    • Se: Modtag notifikationer for alle sete lagre.
    • E-mail: Aktivér mailmeddelelser for sikkerhedsadvarsler.
    • Web: Aktivér webmeddelelser i GitHub-brugergrænsefladen.

Indstillinger for organisationsmeddelelser:

  1. Gå til Organisationsindstillinger → Sikkerhed og analyse.
  2. Konfigurer, hvem der modtager meddelelser om sikkerhedsadvarsler:
    • Organisationsejere: Modtag automatisk alle sikkerhedsadvarsler.
    • Sikkerhedschefer: Det udpegede sikkerhedsteam modtager advarsler.
    • Administratorer af lager: Hver lageradministrator modtager beskeder for deres lagre.

Gennemgang af Dependabot-advarsler

Fanen Sikkerhed giver omfattende administration af advarsler.

Oplysninger om underretninger

Gå til underretninger:

  1. Åbn lageret på GitHub.
  2. Klik på fanen Sikkerhed .
  3. Klik på Dependabot-advarsler i venstre sidepanel.
  4. Gennemse listen over aktive beskeder.

Oplysninger om advarsler:

  • Alvorlighed: Kritisk, høj, moderat eller lav sværhedsgrad.
  • Pakke: Berørt afhængighedsnavn og version.
  • Sikkerhedsrisiko: CVE-identifikator og beskrivelse.
  • Patchede versioner: Versioner, der løser sårbarheden.
  • Sårbare kodestier: Om den sårbare kode rent faktisk bruges (hvis der findes en tilgængelig tilgængelighedsanalyse).
  • Auto-fix tilgængelig: Om Dependabot automatisk kan oprette en pull-anmodning for at løse sårbarheden.

Administration af beskeder

Handlinger til påmindelser:

  • Gennemse pull-anmodning: Hvis der findes en automatisk sikkerhedsopdatering, skal du gennemse og flette pullanmodningen.
  • Afvis besked: Afvise falske positiver eller accepterede risici med en afskedigelsesårsag.
  • Snooze-alarm: Afvis midlertidigt beskeder, der ikke kan løses med det samme.
  • Genåbn advarsel: Genåbn tidligere afviste beskeder, hvis omstændighederne ændrer sig.

Årsager til afskedigelse:

  • Rettelse startet: Teamet arbejder aktivt på afhjælpning.
  • Ingen båndbredde: Problemet er anerkendt, men kan ikke løses i øjeblikket.
  • Acceptabel risiko: Sårbarhed udgør ikke en væsentlig risiko i denne sammenhæng.
  • Fejlagtig: Advarsel er en falsk positiv.

GitHub Advanced Security-integration

GitHub Dependabot er en kernekomponent i GitHub Advanced Security, GitHubs omfattende sikkerhedsplatform, der giver sikkerhedsfunktioner i virksomhedskvalitet til beskyttelse af din softwareforsyningskæde.

Avancerede sikkerhedsfunktioner

Integrerede sikkerhedsfunktioner:

  • Afhængighedsscanning: Dependabot scanner automatisk afhængigheder for kendte sårbarheder ved hjælp af GitHub Advisory Database og databaser over branchesårbarheder.
  • Hemmelig scanning: Registrerer utilsigtet begåede hemmeligheder, tokens og legitimationsoplysninger i lagerkode og -historik.
  • Scanning af kode: Bruger CodeQL og andre analyseprogrammer til at finde sikkerhedssårbarheder og kodningsfejl i kildekoden.
  • Oversigt over sikkerhed: Giver indsigt i sikkerhedsadvarsler, sårbarheder og afhjælpningsstatus i hele organisationen.
  • Sikkerhed i forsyningskæden: Afhængighedsgraf, afhængighedsgennemgang og SBOM-generering for omfattende synlighed i forsyningskæden.

Licenser og tilgængelighed

Avanceret sikkerhedsadgang:

  • Offentlige arkiver: Alle GitHub Advanced Security-funktioner er tilgængelige gratis på offentlige lagre.
  • Private arkiver: Kræver GitHub Advanced Security-licens (inkluderet i GitHub Enterprise Cloud og GitHub Enterprise Server).
  • GitHub gratis/team: Dependabot-advarsler og sikkerhedsopdateringer er tilgængelige, men kodescanning og hemmelig scanning kræver Advanced Security-licens.

Dashboard til sikkerhedsoversigt

Sikkerhedsoversigten giver synlighed på organisationsniveau:

Sikkerhedsmålinger for organisationen:

  • Alarmtendenser: Få vist tendenser for sikkerhedsbeskeder på tværs af alle lagre over tid.
  • Risikovurdering: Identificer lagre med den højeste sikkerhedsrisiko baseret på kritiske beskeder og beskeder af høj alvorsgrad.
  • Holdets dækning: Overvåg, hvilke teams der har aktiveret sikkerhedsfunktioner, og spor afhjælpningsstatus.
  • Rapportering af overholdelse: Generer rapporter for sikkerhedsoverholdelse og revisionskrav.

Oversigt over adgangssikkerhed:

  1. Gå til din organisation på GitHub.
  2. Klik på fanen Sikkerhed .
  3. Gennemse sikkerhedsmålepunkter for hele organisationen, antal beskeder og tendenser.
  4. Analysér ned i bestemte lagre eller beskedtyper for at få en detaljeret undersøgelse.

Aktivering af avanceret sikkerhed

For organisationsejere:

  1. Gå til organisationsindstillinger.
  2. Klik på Kodesikkerhed og -analyse.
  3. Aktivér GitHub Advanced Security for private lagre.
  4. Konfigurer standardindstillinger for:
    • Afhængighedsgraf (automatisk aktiveret).
    • Dependabot-advarsler.
    • Dependabot sikkerhedsopdateringer.
    • Hemmelig scanning.
    • Kodescanning (kræver konfiguration af arbejdsgang).

Aktivering på lagerniveau:

Individuelle lagre kan aktivere eller deaktivere avancerede sikkerhedsfunktioner:

  1. Naviger til lagerindstillinger.
  2. Klik på Kodesikkerhed og -analyse.
  3. Aktiver de ønskede sikkerhedsfunktioner:
    • Afhængighedsgraf: Påkrævet for Dependabot-funktionalitet.
    • Dependabot-advarsler: Meddelelser om sårbarheder.
    • Dependabot sikkerhedsopdateringer: Automatisk sårbarhedsrettelse af pullanmodninger.
    • Hemmelig scanning: Detektion af lækage af legitimationsoplysninger.
    • Scanning af kode: Statisk applikationssikkerhedstest (SAST).

Integration med udviklingsarbejdsgange

GitHub Advanced Security integreres problemfrit med udviklingsprocesser:

Integration af pull-anmodning:

  • Afhængighed gennemgang: Gennemgår automatisk afhængighedsændringer i pullanmodninger og fremhæver nye sårbarheder, der introduceres af afhængighedsopdateringer.
  • Sikkerhedstjek: Kodescanning og hemmelig scanning kører automatisk på pullanmodninger og blokerer fletninger, hvis der findes kritiske problemer.
  • Nødvendige anmeldelser: Konfigurer regler for forgreningsbeskyttelse for at kræve godkendelse af sikkerhedsteam for pullanmodninger med sikkerhedsbeskeder.

Sikkerhedspolitikker:

  • SECURITY.md: Definer politikker for offentliggørelse af sårbarheder og sikkerhedskontaktoplysninger.
  • Ejere af koden: Tildel sikkerhedsteammedlemmer som kodeejere for afhængighedsfiler (package.json, requirements.txt, pom.xml).
  • Beskyttelse af grene: Kræv statuskontrol for sikkerhedsscanninger, før du tillader fletninger.

Revision og compliance:

  • Revisionslog: Spor alle sikkerhedsrelaterede handlinger, herunder afvisning af advarsler, aktivering af funktioner og adgangsændringer.
  • Sikkerhedspolitikker: Gennemtving sikkerhedsstandarder for hele organisationen på tværs af alle lagre.
  • Integration af overholdelse: Eksportér sikkerhedsdata til SOC 2, ISO 27001 og andre overholdelsesrammer.

GitHub Advanced Security giver beskyttelse i virksomhedsklassen til din softwareforsyningskæde, hvor Dependabot fungerer som grundlaget for administration af afhængighedssikkerhed. Platformens integrerede tilgang sikrer omfattende sårbarhedsdetektion, automatiseret afhjælpning og sikkerhedssynlighed i hele organisationen.

GitHub Dependabot leverer omfattende, automatiseret afhængighedssikkerhedsstyring integreret direkte i GitHub-arbejdsgange. Ved at aktivere advarsler, sikkerhedsopdateringer og versionsopdateringer kan udviklingsteams proaktivt adressere sårbarheder og opretholde up-todatoafhængigheder med minimal manuel indsats. Den næste enhed undersøger, hvordan du integrerer Software Composition Analysis-kontroller i CI/CD-pipelines ud over GitHubs indbyggede funktioner.