Управление доступом к GitHub Advanced Security

  • 5 мин

В предыдущем уроке вы узнали, как включить расширенную безопасность GitHub в соответствии с корпоративным планом.

В этом уроке описывается настройка GitHub Advanced Security для проекта. В нем объясняется, как управлять доступом к оповещениям системы безопасности и настраивать политики безопасности на уровне организации и репозитория.

Управление доступом к оповещениям системы безопасности

При настройке GitHub Advanced Security для проекта необходимо убедиться, что правильные пользователи в организации могут просматривать и разрешать любые оповещения. Роли и разрешения, необходимые для просмотра этих оповещений, зависят от типа оповещения.

В этой таблице показаны минимальные роли и разрешения, необходимые для просмотра каждого типа оповещения на вкладке "Безопасность репозитория".

Тип оповещения системы безопасности Необходимые роли и разрешения
Оповещения сканирования кода Разрешение на запись в репозитории
Оповещения о сканировании секретов Администраторы репозитория и владельцы организации
Оповещения Dependabot Администраторы репозитория и владельцы организации

Кроме того, администраторы репозитория и владельцы организации могут предоставлять доступ к сканированию секретов и оповещениям Dependabot пользователям и командам с разрешением на запись из параметров безопасности и анализа репозитория .

При правильном наборе ролей и разрешений разработчики, участвующие в рабочем процессе безопасности, могут выполнять следующие действия:

  • Для оповещений сканирования кода: внесите исправления в код, отклоните оповещения, не требующие каких-либо действий, или удалите оповещения для очистки результатов сканирования кода.
  • Для оповещений о проверке секретов: удалите обнаруженные секреты, создайте новые токены, обновите код, использующий обнаруженные секреты, или отключите оповещения, которые не требуют действий.
  • Для оповещений Dependabot: обновите уязвимые зависимости или уволите оповещения, которые не требуют каких-либо действий.

Настройка политики безопасности на уровне организации

Хороший способ убедиться, что все пользователи в вашей организации используют GitHub Advanced Security, — настроить политику безопасности на уровне организации. Например, можно задать политику, которая позволяет всем администраторам репозитория в организации включить функции расширенной безопасности для своих репозиториев.

Политики можно настроить для всех организаций, принадлежащих вашей корпоративной учетной записи, или для отдельных организаций, которые вы выбрали.

Выполните следующие действия, чтобы настроить политику безопасности на уровне организации:

  1. На боковой панели предприятия перейдите в раздел "Расширенная безопасность политик>".

  2. В разделе GitHub Advanced Security выберите раскрывающееся меню и выберите политику для организаций, принадлежащих вашей организации.

    Снимок экрана: раскрывающийся список политики безопасности.

  3. При необходимости, если вы выбрали "Разрешить для выбранных организаций " справа от организации, выберите раскрывающееся меню, чтобы разрешить или запретить расширенную безопасность для организации. Запрет расширенной безопасности для организации запрещает администраторам репозитория включать функции расширенной безопасности для других репозиториев, но он не отключает функции для репозиториев, где функции уже включены.

    Снимок экрана: раскрывающийся список политики безопасности отдельных организаций.

Заметка

Помните, что GitHub взимает плату за использование расширенных функций безопасности на основе количества участников при настройке политики на уровне организации.

Настройка политики безопасности на уровне репозитория

В равной степени важно при настройке проекта GitHub документировать, как сообщать об уязвимостях безопасности для проекта. Для этого можно добавить файл SECURITY.md в корневую папку, docsили .github репозитория проекта. Затем, когда кто-то создает проблему в репозитории, он видит ссылку на политику безопасности проекта.

После того как кто-то сообщает об уязвимости безопасности в проекте, вы можете использовать помощники по безопасности GitHub для раскрытия, исправления и публикации сведений об уязвимости.

Выполните следующие действия, чтобы настроить политику безопасности на уровне репозитория:

  1. В репозитории перейдите к политике безопасности>.
  2. Нажмите кнопку "Начать настройку".
  3. В новом файле SECURITY.md добавьте сведения о поддерживаемых версиях проекта и о том, как сообщить об уязвимости.
  4. Зафиксируйте изменение в репозитории.