Gestionați caracteristicile și avertizările GitHub Advanced Security
Acum, că securitatea pentru proiectul dvs. este configurată, tot ce trebuie să faceți este să monitorizați și să gestionați caracteristicile avansate de securitate GitHub și avertizările pentru proiect.
În această unitate, veți afla cum să utilizați Prezentarea generală a securității pentru a monitoriza riscurile de securitate din proiect. De asemenea, această unitate acoperă modul de utilizare a punctelor finale GitHub Advanced Security pentru a gestiona caracteristicile și avertizările GitHub Advanced Security.
Utilizarea Prezentării generale a securității
Prezentarea generală a securității este disponibilă în fila securitate a organizațiilor și a depozitelor. O puteți utiliza pentru a obține o vizualizare de nivel înalt a stării de securitate a organizației sau pentru a identifica depozitele problematice care necesită intervenție.
- La nivel de organizație, Prezentarea generală a securității afișează informații de securitate agregate și specifice depozitului pentru depozitele deținute de organizația dvs. De asemenea, puteți filtra informațiile pentru fiecare caracteristică de securitate.
- La nivel de echipă, Prezentarea generală a securității afișează informații de securitate specifice depozitului pentru depozitele pentru care echipa are privilegii de administrator.
- La nivelul depozitului, Prezentarea generală a securității afișează ce caracteristici de securitate sunt activate pentru depozit și oferă opțiunea de a configura toate caracteristicile de securitate disponibile care nu sunt utilizate în prezent.
Datorită nivelului său înalt de interactivitate și numeroase filtre, Prezentarea generală a securității este utilă atât pentru analize generale, cât și pentru analize specifice ale stării de securitate a organizației dvs. De exemplu, îl puteți utiliza pentru a monitoriza adoptarea de caracteristici de către organizația dvs. sau de către o anumită echipă pe măsură ce implementați Securitatea avansată GitHub pentru întreprinderea dvs. sau o puteți utiliza pentru a revizui toate avertizările de un anumit tip și nivel de severitate în toate depozitele din organizația dvs.
Utilizarea punctelor finale GitHub Advanced Security
Următorul tabel explică ce puncte finale sunt disponibile pentru fiecare caracteristică Advanced Security cu linkuri la documentația lor.
| caracteristicii | puncte finale | documentație |
|---|---|---|
| Scanarea codului | Regăsiți și actualizați avertizările de scanare a codului de la un depozit. Creați rapoarte automate pentru avertizări de scanare a codului într-o organizație. Încărcați rezultatele analizei generate utilizând instrumentele de scanare a codului offline. |
API-ului de scanare a codului |
| Scanare secretă | Activați sau dezactivați scanarea secretă pentru un depozit. Regăsiți și actualizați avertizările de scanare secretă de la un depozit privat. |
API de depozit API-ului de scanare secretă |
| Revizuire dependență | Activați și dezactivați avertizările de dependență și graficul de dependență pentru un depozit. Activați și dezactivați remedierile de securitate pentru un depozit. Vizualizați informațiile de dependență. |
API de depozit API GraphQL |
Dacă decideți să utilizați acțiuni GitHub pentru a automatiza fluxurile de lucru de securitate, este important să setați corect permisiunile pentru GITHUB_TOKEN utilizate pentru a efectua apeluri API autentificate.
GITHUB_TOKEN are permisiuni implicite, în funcție de domeniu:
| domeniu | Acces implicit (permissiv) | acces implicit (restricționat) | Acces maxim prin depozitul de cerneală |
|---|---|---|---|
| acțiuni | citire/scriere | niciunul | citi |
| Controale | citire/scriere | niciunul | citi |
| conținut | citire/scriere | citi | citi |
| Implementări | citire/scriere | niciunul | citi |
| id-token | citire/scriere | niciunul | citi |
| Probleme | citire/scriere | niciunul | citi |
| metadate | citi | citi | citi |
| Pachete | citire/scriere | niciunul | citi |
| solicitări de extragere | citire/scriere | niciunul | citi |
| proiecte de depozit | citire/scriere | niciunul | citi |
| evenimente de securitate | citire/scriere | niciunul | citi |
| Stările | citire/scriere | niciunul | citi |
Puteți modifica permisiunile pentru GITHUB_TOKEN în fișierele de flux de lucru individuale. Dacă permisiunile implicite pentru GITHUB_TOKEN sunt restrictive, poate fi necesar să măriți permisiunile pentru a permite rularea cu succes a unor acțiuni și comenzi. Dacă permisiunile implicite sunt permise, puteți edita fișierul flux de lucru pentru a elimina unele permisiuni din GITHUB_TOKEN. Ca bună practică de securitate, ar trebui să acordați GITHUB_TOKEN accesul cel mai puțin necesar.
De asemenea, puteți utiliza cheia permissions din fișierele flux de lucru pentru a modifica permisiunile pentru GITHUB_TOKEN pentru un flux de lucru întreg sau pentru activități individuale. Această cheie vă permite să configurați permisiunile minime necesare pentru un flux de lucru sau o activitate. Atunci când se utilizează cheia permissions, toate permisiunile nespecificate nu sunt setate la acces, cu excepția domeniului metadatelor, care primește întotdeauna acces de citire.
name: Create issue on commit
on: [ push ]
jobs:
create_commit:
runs-on: ubuntu-latest
permissions:
issues: write
steps:
- name: Create issue using REST API
run: |
curl --request POST \
--url http(s)://[hostname]/api/v3/repos/${{ github.repository }}/issues \
--header 'authorization: Bearer ${{ secrets.GITHUB_TOKEN }}' \
--header 'content-type: application/json' \
--data '{
"title": "Automated issue for commit: ${{ github.sha }}",
"body": "This issue was automatically created by the GitHub Action workflow **${{ github.workflow }}**. \n\n The commit hash was: _${{ github.sha }}_."
}' \
--fail
În exemplul anterior, accesul la scriere este acordat pentru un singur domeniu pentru o singură lucrare.
În plus, puteți utiliza tasta permissions pentru a adăuga și a elimina permisiunile de citire pentru depozitele de cerneală, dar de obicei nu puteți acorda acces la scriere. Excepția de la acest comportament este dacă ați selectat Trimiteți simboluri de scriere către fluxurile de lucru din solicitările de extragere opțiune din setările Acțiuni GitHub.