Mengelola akses ke GitHub Advanced Security

  • 5 menit

Di unit sebelumnya, Anda mempelajari cara mengaktifkan GitHub Advanced Security sesuai dengan paket perusahaan Anda.

Pelajaran ini membimbing Anda tentang cara mengonfigurasi GitHub Advanced Security untuk proyek. Ini menjelaskan cara mengelola akses ke pemberitahuan keamanan dan menyiapkan kebijakan keamanan di tingkat organisasi dan repositori.

Mengelola akses ke pemberitahuan keamanan

Saat menyiapkan GitHub Advanced Security untuk proyek, Anda ingin memastikan orang yang tepat di organisasi Anda dapat melihat dan menyelesaikan pemberitahuan apa pun. Peran dan izin yang diperlukan untuk melihat pemberitahuan ini bergantung pada jenis pemberitahuan.

Tabel ini memperlihatkan peran dan izin minimum yang diperlukan untuk melihat setiap jenis pemberitahuan di tab Keamanan repositori :

Jenis pemberitahuan keamanan Peran dan izin yang diperlukan
Pemberitahuan pemindaian kode Izin tulis di repositori
Peringatan pemindaian rahasia Administrator repositori dan pemilik organisasi
Pemberitahuan Dependabot Administrator repositori dan pemilik organisasi

Selain itu, administrator repositori dan pemilik organisasi dapat memberikan pemindaian rahasia dan akses pemberitahuan Dependabot kepada pengguna dan tim dengan izin tulis di repositori mereka dari pengaturan Keamanan dan analisis repositori .

Dengan serangkaian peran dan izin yang tepat, pengembang yang terlibat dalam alur kerja keamanan Anda dapat mengambil tindakan berikut:

  • Untuk pemberitahuan pemindaian kode: menerapkan koreksi pada kode, mengabaikan pemberitahuan yang tidak memerlukan tindakan apa pun, atau menghapus pemberitahuan untuk membersihkan hasil pemindaian kode.
  • Untuk pemberitahuan pemindaian rahasia: hapus rahasia yang terdeteksi, buat token baru, dan perbarui kode yang menggunakan rahasia yang terdeteksi, atau tutup pemberitahuan yang tidak memerlukan tindakan apa pun.
  • Untuk pemberitahuan Dependabot: perbarui dependensi yang rentan atau tutup pemberitahuan yang tidak memerlukan tindakan apa pun.

Menetapkan kebijakan keamanan di tingkat organisasi

Cara yang baik untuk memastikan bahwa semua orang di organisasi Anda menggunakan GitHub Advanced Security adalah dengan menyiapkan kebijakan keamanan di tingkat organisasi. Misalnya, Anda dapat menetapkan kebijakan yang memungkinkan semua administrator repositori di organisasi Anda mengaktifkan fitur untuk Advanced Security untuk repositori mereka.

Kebijakan dapat dikonfigurasi untuk semua organisasi yang dimiliki oleh akun perusahaan Anda, atau untuk masing-masing organisasi yang Anda pilih.

Ikuti langkah-langkah berikut untuk menyiapkan kebijakan keamanan di tingkat organisasi:

  1. Di bilah sisi perusahaan Anda, navigasikan ke Kebijakan > Keamanan Tingkat Lanjut.

  2. Di bawah Keamanan Tingkat Lanjut GitHub , pilih menu drop-down dan pilih kebijakan untuk organisasi yang dimiliki oleh perusahaan Anda.

    Cuplikan layar menu drop-down kebijakan keamanan.

  3. Secara opsional, jika Anda memilih Izinkan organisasi yang dipilih di sebelah kanan organisasi, pilih menu drop-down untuk mengizinkan atau melarang Keamanan Tingkat Lanjut untuk organisasi. Melarang Keamanan Tingkat Lanjut untuk organisasi mencegah administrator repositori mengaktifkan fitur Keamanan Tingkat Lanjut untuk repositori lain, tetapi tidak menonaktifkan fitur untuk repositori tempat fitur sudah diaktifkan.

    Cuplikan layar menu drop-down kebijakan keamanan organisasi individual.

Nota

Perlu diingat bahwa GitHub menagih Advanced Security per komitter ketika menetapkan kebijakan di tingkat organisasi.

Mengatur kebijakan keamanan di tingkat repositori

Sama pentingnya saat menyiapkan proyek GitHub adalah mendokumen cara melaporkan kerentanan keamanan untuk proyek. Untuk melakukannya, Anda dapat menambahkan file SECURITY.md ke folder root, docs, atau .github repositori proyek. Kemudian, ketika seseorang membuat masalah di repositori, mereka melihat tautan ke kebijakan keamanan proyek Anda.

Setelah seseorang melaporkan kerentanan keamanan dalam proyek Anda, Anda dapat menggunakan Saran Keamanan GitHub untuk mengungkapkan, memperbaiki, dan menerbitkan informasi tentang kerentanan.

Ikuti langkah-langkah berikut untuk menyiapkan kebijakan keamanan di tingkat repositori:

  1. Di repositori Anda, navigasikan ke kebijakan Keamanan>.
  2. Pilih Mulai penyetelan.
  3. Dalam file SECURITY.md baru, tambahkan informasi tentang versi proyek Anda yang didukung dan cara melaporkan kerentanan.
  4. Terapkan perubahan ke repositori.