Gestionarea accesului la GitHub Advanced Security

  • 5 minute

În unitatea anterioară, ați învățat cum să activați GitHub Advanced Security în conformitate cu planul dvs. de întreprindere.

Această unitate vă ajută să parcurgeți procesul de configurare a securității avansate GitHub pentru un proiect. Acesta vă arată cum să gestionați accesul la avertizările de securitate și cum să configurați politici de securitate la nivel de organizație și depozit.

Gestionarea accesului la avertizări de securitate

Atunci când configurați GitHub Advanced Security pentru un proiect, doriți să vă asigurați că persoanele potrivite din organizația dvs. pot vizualiza și rezolva orice avertizări. Rolurile și permisiunile necesare pentru a vizualiza aceste avertizări depind de tipul de avertizare.

Acest tabel afișează rolurile și permisiunile minime necesare pentru a vizualiza fiecare tip de avertizare din fila Securitate a depozitului:

Tip de avertizare de securitate Roluri și permisiuni necesare
Avertizări de scanare a codului Permisiune de scriere în depozit
Avertizări de scanare secrete Administratorii depozitului și proprietarii organizației
Avertizări Dependențabot Administratorii depozitului și proprietarii organizației

În plus, administratorii depozitului și proprietarii organizației pot oferi acces secret de scanare și alertă Dependabot utilizatorilor și echipelor cu permisiune de scriere pentru depozitele lor din setările de securitate și analiză ale depozitului.

Cu setul corect de roluri și permisiuni, dezvoltatorii implicați în fluxul dvs. de lucru de securitate pot efectua următoarele acțiuni:

  • Pentru avertizări de scanare a codului: comiteți corecțiile la cod, dezactivați avertizările care nu necesită nicio acțiune sau ștergeți avertizările pentru a curăța rezultatele scanării codului.
  • Pentru avertizări de scanare secrete: ștergeți secretele detectate, creați simboluri noi și cod de actualizare care utilizează secretele detectate sau dezactivați avertizările care nu necesită nicio acțiune.
  • Pentru avertizări dependente: actualizați dependențele vulnerabile sau dezactivați avertizările care nu necesită nicio acțiune.

Setarea unei politici de securitate la nivel de organizație

O modalitate bună de a vă asigura că toate persoanele din organizația dvs. utilizează GitHub Advanced Security este să configurați o politică de securitate la nivel de organizație. De exemplu, puteți seta o politică care permite tuturor administratorilor depozitului din organizația dvs. să activeze caracteristici pentru Advanced Security pentru depozitele lor.

Politicile pot fi configurate pentru toate organizațiile deținute de contul de întreprindere sau pentru organizații individuale pe care le alegeți.

Urmați acești pași pentru a configura o politică de securitate la nivel de organizație:

  1. În bara laterală de întreprindere, navigați la Politici > avansate de securitate.

  2. Sub Securitate avansată GitHub, selectați meniul vertical și selectați o politică pentru organizațiile deținute de întreprinderea dvs.

    Captură de ecran cu lista verticală cu politica de securitate.

  3. Opțional, dacă alegeți Permiteți pentru organizațiile selectate în partea dreaptă a unei organizații, selectați meniul vertical pentru a permite sau a nu permite Securitate avansată pentru organizație. Nu permiteți Securitatea avansată pentru o organizație împiedică administratorii depozitului să activeze caracteristici avansate de securitate pentru alte depozite, dar nu dezactivează caracteristicile pentru depozitele în care sunt activate deja caracteristicile.

    Captură de ecran cu lista verticală cu politica de securitate a organizației individuale.

Notă

Rețineți că GitHub facturi pentru Securitate avansată pe bază de comitere atunci când configurați o politică la nivel de organizație.

Setarea unei politici de securitate la nivel de depozit

La fel de important atunci când configurați un proiect GitHub este să documentați modul de raportare a vulnerabilităților de securitate pentru proiect. Pentru a face acest lucru, puteți adăuga un SECURITY.md fișier la rădăcina sau docs.github folderele depozitului de proiect. Apoi, atunci când cineva creează o problemă într-un depozit, aceasta vede un link la politica de securitate a proiectului dvs.

După ce cineva raportează o vulnerabilitate de securitate în proiectul dvs., puteți utiliza Recomandări de securitate GitHub pentru a dezvălui, a remedia și a publica informații despre vulnerabilitate.

Urmați acești pași pentru a configura o politică de securitate la nivel de depozit:

  1. În depozit, navigați la > Politica de securitate.
  2. Selectați Porniți configurarea.
  3. În noul SECURITY.md fișier, adăugați informații despre versiunile acceptate ale proiectului și cum să raportați o vulnerabilitate.
  4. Comiteți modificarea depozitului.