การรักษาความปลอดภัยอัตโนมัติ
ที่นี่ เราจะกล่าวถึงวิธีการบางอย่างที่คุณสามารถทําการตรวจสอบความปลอดภัยในที่เก็บข้อมูลที่พร้อมใช้งานสําหรับผู้ดูแลระบบที่เก็บ GitHub โดยอัตโนมัติ
ตรวจหาและแก้ไขการขึ้นต่อกันที่ล้าสมัยด้วยช่องโหว่ด้านความปลอดภัย
เกือบทุกโครงการในวันนี้จะใช้การอ้างอิงบนแพคเกจภายนอก แม้ว่าคอมโพเนนต์เหล่านี้สามารถให้ประโยชน์อย่างมากในการผลิตแต่สามารถทําให้เกิดความเสี่ยงด้านความปลอดภัยอื่น ๆ ได้ การอยู่ที่ด้านบนของแพคเกจเหล่านี้และสถานะช่องโหว่อาจใช้เวลานานโดยเฉพาะอย่างยิ่งเมื่อการขึ้นต่อกันแต่ละครั้งอาจมีการขึ้นต่อกันของตัวเองซึ่งอาจเป็นเรื่องยากที่จะติดตามและบํารุงรักษา โชคดีที่ GitHub มีคุณลักษณะที่ลดปริมาณงานนี้
กราฟการขึ้นต่อกันของที่เก็บ
คุณลักษณะเริ่มต้นหนึ่งตัวที่เก็บข้อมูลทุกชุดจะมีกราฟการขึ้นต่อกัน GitHub จะสแกนรายการแพคเกจทั่วไป เช่น package.json, requirements.txt, และอื่น ๆ กราฟเหล่านี้ช่วยให้เจ้าของโครงการสามารถติดตามการอ้างอิงโครงการทั้งหมดได้ซ้ํา
สําหรับรายการของรายการการขึ้นต่อกันที่สนับสนุน ให้ดู เกี่ยวกับกราฟการขึ้นต่อกัน
การแจ้งเตือนแบบขึ้นต่อกัน
แม้ว่ากราฟการขึ้นต่อกันของวิชวลจะยังคงได้รับประโยชน์สูงสุดจากข้อควรพิจารณาด้านความปลอดภัยล่าสุดสําหรับทุกการขึ้นต่อกันที่โครงการมี ในการลดค่าใช้จ่ายนี้ GitHub ให้การแจ้งเตือนการอ้างอิง ที่ดูกราฟการขึ้นต่อกันของคุณ จากนั้นจะอ้างอิงข้ามเวอร์ชันเป้าหมายที่มีเวอร์ชันในรายการช่องโหว่ที่รู้จัก เมื่อมีการค้นพบความเสี่ยง โครงการจะได้รับการแจ้งเตือน ข้อมูลป้อนเข้าสําหรับการวิเคราะห์มาจาก คําแนะนําความปลอดภัย GitHub
การอัปเดตการขึ้นต่อกันแบบอัตโนมัติด้วย Dependabot
การแจ้งเตือนการขึ้นต่อกันอาจนําไปสู่ผู้สนับสนุนโครงการที่กระแทกการอ้างอิงแพคเกจที่ไม่เหมาะสมไปยังเวอร์ชันที่แนะนําและสร้างคําขอดึงข้อมูลสําหรับการตรวจสอบความถูกต้อง จะไม่ดีถ้ามีวิธีการทําให้ความพยายามนี้เป็นแบบอัตโนมัติหรือไม่? ข่าวดี! อ้างอิง ทําแบบนั้น ซึ่งจะสแกนหาการแจ้งเตือนการขึ้นต่อกันและสร้างคําขอดึงข้อมูลเพื่อให้ผู้สนับสนุนสามารถตรวจสอบการอัปเดตและผสานคําขอได้
เมื่อต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความยืดหยุ่นของ Dependabot ดู กําหนดค่าการปรับปรุงความปลอดภัย Dependabot
การสแกนโค้ดโดยอัตโนมัติ
คล้ายกับวิธีที่ Dependabot สแกนที่เก็บของคุณสําหรับการแจ้งเตือนการขึ้นต่อกัน คุณสามารถใช้การสแกนโค้ดเพื่อวิเคราะห์และค้นหาช่องโหว่ด้านความปลอดภัยและข้อผิดพลาดในโค้ดในที่เก็บ GitHub ได้ การสแกนโค้ดมีประโยชน์หลายอย่าง คุณสามารถใช้เพื่อค้นหา พยายาม และจัดลําดับความสําคัญของการแก้ไขสําหรับปัญหาที่มีอยู่หรือช่องโหว่ด้านความปลอดภัยที่อาจเกิดขึ้น นอกจากนี้ยังเป็นประโยชน์ในการช่วยป้องกันนักพัฒนาไม่ให้แนะนําปัญหาด้านความปลอดภัยใหม่ๆ ลงในโค้ด
ประโยชน์อีกประการหนึ่งของการสแกนโค้ดคือความสามารถในการใช้ CodeQL CodeQL ช่วยให้คุณสามารถคิวรีโค้ดเป็นข้อมูล ซึ่งช่วยให้คุณสร้างคิวรีแบบกําหนดเองหรือใช้คิวรีที่ดูแลรักษาโดยชุมชนโอเพนซอร์ส การสแกนโค้ดช่วยให้คุณมีอิสระในการกําหนดค่าและรักษาวิธีการสแกนโค้ดภายในที่เก็บของคุณ
คุณสามารถเปิดใช้งานการแจ้งเตือนและเวิร์กโฟลว์การสแกนโค้ดในแท็บความปลอดภัยของที่เก็บ GitHub:
เรียนรู้เพิ่มเติมเกี่ยวกับการสแกนโค้ด และ CodeQL
การสแกนข้อมูลลับ
อีกหนึ่งคุณลักษณะการสแกนอัตโนมัติภายในที่เก็บ GitHub คือการสแกนแบบลับ คล้ายกับคุณลักษณะการสแกนความปลอดภัยก่อนหน้านี้ การสแกนข้อมูลลับค้นหาความลับหรือข้อมูลประจําตัวที่รู้จักซึ่งผูกมัดภายในที่เก็บ การสแกนนี้จะทําเพื่อป้องกันการใช้พฤติกรรมฉ้อฉลและเพื่อรักษาความปลอดภัยของความสมบูรณ์ของข้อมูลที่ละเอียดอ่อนใด ๆ ตามค่าเริ่มต้น การสแกนข้อมูลลับเกิดขึ้นที่เก็บข้อมูลสาธารณะ และคุณสามารถเปิดใช้งานการสแกนลับบนที่เก็บส่วนตัวโดยผู้ดูแลระบบที่เก็บหรือเจ้าขององค์กร
เมื่อการสแกนข้อมูลลับตรวจพบชุดของข้อมูลประจําตัว GitHub จะแจ้งผู้ให้บริการที่ออกข้อมูลลับ ผู้ให้บริการตรวจสอบข้อมูลประจําตัว จากนั้นจะตัดสินใจว่าพวกเขาควรเพิกถอนความลับออกเป็นความลับใหม่หรือติดต่อคุณโดยตรง การดําเนินการนี้ขึ้นอยู่กับความเสี่ยงที่เกี่ยวข้องกับคุณหรือผู้ให้บริการ
เรียนรู้เพิ่มเติมเกี่ยวกับ การสแกนข้อมูลลับสําหรับที่เก็บแบบสาธารณะและส่วนตัว