Ce este GitHub Advanced Security?
GitHub are multe caracteristici care vă ajută să îmbunătățiți și să mențineți calitatea codului. Unele dintre aceste caracteristici sunt incluse în toate planurile, cum ar fi graficul de dependență și avertizările Dependabot. Altele rulează doar într-un mod de funcționalitate limitată pentru depozitele publice. De asemenea, există și alte persoane care necesită o licență GitHub Advanced Security pentru a rula pe depozite private.
În această unitate, aflați mai multe despre Securitate avansată GitHub și descoperiți cum arată un proiect cu GitHub Advanced Security.
Caracteristicile avansate de securitate GitHub
Următorul tabel rezumă disponibilitatea caracteristicilor de securitate avansată GitHub pentru depozitele publice și private.
| caracteristicii | depozit public | depozit privat fără advanced Security | depozit privat cu advanced Security |
|---|---|---|---|
| Scanarea codului | Da | Nu | Da |
| Scanare secretă | Da (doar funcționalitate limitată) | Nu | Da |
| Revizuire dependență | Da | Nu | Da |
| Prezentare generală securitate | Nu | Nu | Da |
După cum se arată în tabelul precedent, toate caracteristicile de securitate avansată GitHub, cu excepția Caracteristicilor generale de securitate, sunt activate în mod implicit pentru toate depozitele publice din GitHub.com. Pentru a accesa aceste caracteristici în depozitele private și interne, aveți nevoie de un cont de întreprindere GitHub cu o licență GitHub Advanced Security.
O licență GitHub Advanced Security oferă aceste caracteristici pentru depozite private și interne:
- de scanare a codului: detectează automat vulnerabilitățile comune și erorile de codare.
- scanarea secretă: primește avertizări atunci când sunt arhivate secretele sau cheile, exclude fișierele din scanare și definește până la 100 de modele particularizate.
- revizuire dependență: afișează efectul complet al modificărilor dependențelor și vede detaliile oricăror versiuni vulnerabile înainte de a îmbina o solicitare de tragere.
- Prezentare generală a securității: revizuiește configurația de securitate și avertizările pentru o organizație și identifică depozitele cu cel mai mare risc.
Securitate avansată GitHub în ciclul de viață al dezvoltării software-ului
Deci, ce diferență fac caracteristicile de securitate avansată GitHub în ciclul dvs. de viață al dezvoltării software-ului? Să vedem mai întâi un scenariu de securitate de bază.
Acest exemplu ilustrează o securitate tradițională ca abordare a porții , în care un singur test de securitate sau o serie de teste de securitate au loc în timpul fazei de asigurare a calității. În acest scenariu, securitatea ajunge de obicei să fie un blocaj pentru livrarea software-ului. Această situație este ceea ce dorește firma dvs. să remedieze, schimbând securitatea rămasă.
Acum, să vedem același ciclu de viață al dezvoltării software-ului cu GitHub Advanced Security.
În acest scenariu, securitatea este configurată de la început prin politicile de securitate în etapa de configurare a proiectului. Dezvoltatorii sunt avertizati de problemele potențiale de securitate la fiecare pas al procesului de dezvoltare:
- scanarea codului: Scanează la fiecare comitere și îmbinare pentru vulnerabilitățile potențiale și erorile de codificare.
- scanarea secretă: Scanează la fiecare comitere și îmbinare pentru simboluri și chei private care au fost comise accidental.
- revizuirea dependenței: urmărește modificările de dependență ale proiectului și efectul lor asupra securității proiectului. Compară fișierele manifest ale depozitului cu bazele de date ale vulnerabilităților cunoscute la fiecare solicitare de tragere.
În plus, Prezentare generală a securității oferă administratorilor o vizualizare de nivel înalt a stării de securitate a proiectului. Această vizualizare permite administratorilor să identifice depozitele problematice care necesită intervenție.
Securitatea codului dvs. este revizuită de mai multe ori înainte de a ajunge la etapa de asigurare a calității, așa că există mai puține șanse pentru o blocajă chiar înainte de livrare și mai puține datorii tehnice.