Skip to main content

关于GitHub高级安全性

GitHub为购买GitHub Code Security或GitHub Secret Protection的客户提供附加安全功能。 默认情况下,某些功能为公共存储库启用。

谁可以使用此功能?

GitHub Code Security和GitHub Secret Protection适用于GitHub Team和GitHub Enterprise Cloud上的账户。

某些功能也可在 GitHub.com 上免费用于公共仓库。 有关详细信息,请参阅“GitHub的计划”。

有关 GitHub Advanced Security for Azure DevOps 的信息,请参阅 Microsoft Learn 中的配置 GitHub Advanced Security for Azure DevOps

关于 GitHub Advanced Security 产品

GitHub 有许多功能可帮助你改进和维护代码的质量。 其中一些包含在所有计划中,例如依赖项关系图和 Dependabot alerts。

其他安全功能要求购买GitHub的其中一种Advanced Security产品:

  • GitHub Secret Protection,包括可帮助你检测和防止机密泄露的功能,例如 secret scanning 和推送保护。
  • GitHub Code Security,包括有助于查找和修复漏洞的功能,例如 code scanning、高级 Dependabot 功能和依赖项评审。

默认情况下,某些功能(例如 code scanning 和 secret scanning)为公共存储库启用。 若要在专用或内部存储库上运行该功能,必须购买相关 GitHub Advanced Security 产品。

你必须处于 GitHub Team 或 GitHub Enterprise 计划才能购买 GitHub Code Security 或 GitHub Secret Protection。 有关详细信息,请参阅 GitHub的计划GitHub Advanced Security 许可证计费

GitHub Code Security

可使用以下 GitHub Code Security功能:

  • Code scanning:使用 CodeQL 或第三方工具搜索代码中的潜在安全漏洞和编码错误。

  •           **              CodeQL CLI              **:在软件项目上本地运行 CodeQL 进程,或生成 code scanning 结果以上传到 GitHub。
    
  •           **              Copilot自动修复              **:获取针对 code scanning 警报的自动生成修复。
    
  • 安全活动:大规模减少安全债务。

  •           **              Dependabot 的 自定义自动分类规则**:大规模管理你的 Dependabot alerts,通过自动化你希望忽略、暂缓或触发 Dependabot 安全更新的警报。
    
  • 依赖关系评审: 显示更改对依赖项的完整影响,并在合并拉取请求之前查看全部有漏洞的版本的详细信息。

  • 安全概览:了解整个组织的风险分布****。

下表总结了 GitHub Code Security 功能在公共和专用存储库中的可用性。

公共存储库
没有 GitHub Code Security
专用存储库
没有 GitHub Code Security
公共或专用存储库
跟 GitHub Code Security
Code scanning
CodeQL CLI
Copilot自动修复
安全活动
自定义自动分类规则
依赖项审查
安全概述

有关功能的详细信息,请参阅 GitHub安全功能

GitHub Secret Protection

可使用以下 GitHub Secret Protection功能:

  • Secret scanning:检测已签入存储库的机密(例如密钥和令牌),并接收警报。
  • 推送保护:阻止包含机密的提交,防止机密泄漏发生。
  • AI 检测到的机密:利用 AI 检测已签入存储库的非结构化凭据,例如密码。
  • 自定义模式:检测并防止组织特定的机密泄漏。
  • 推送保护的委派绕过委派警报消除:实施审批流程,更好地控制企业中谁可以执行敏感操作,并支持大规模治理。
  • 安全活动:通过创建活动并协作修复,全面整治暴露的机密信息。
  • 安全概览:了解整个组织的风险分布。

下表总结了 GitHub Secret Protection 功能在公共和专用存储库中的可用性。

公共存储库
没有 GitHub Secret Protection
专用存储库
没有 GitHub Secret Protection
公共或专用存储库
跟 GitHub Secret Protection
机密扫描
推送保护
Copilot 机密扫描
自定义模式
推送保护委派绕过
安全活动
安全概述

有关各个功能的详细信息,请参阅 GitHub安全功能

运行免费安全风险评估

安全风险评估入门

GitHub Team GitHub Enterprise组织可以运行免费的安全风险评估,以了解其暴露在安全漏洞方面的风险:

  • 机密泄漏:扫描组织中的泄露机密,查看有多少可能通过GitHub Secret Protection得以防止。 请参阅“借助 GitHub 实现机密保护”。

  • 代码漏洞:扫描最多 20 个最活跃的存储库,并在启用Copilot自动修复时查看可自动修复GitHub Code Security的漏洞数。 请参阅“代码安全风险评估”。

部署 GitHub Code Security 和 GitHub Secret Protection

若要从高层面了解规划部署 GitHub Code Security 和 GitHub Secret Protection 时需要掌握的内容,以及查看我们建议的推出阶段,请参阅 大规模采用 GitHub Advanced Security

启用功能

可以使用 security configuration大规模启用安全功能,这是可应用于组织中的存储库的安全启用设置集合。 可以在组织级别使用 Advanced Security 自定义 global settings 的功能。 请参阅“大规模启用安全功能”。

如果使用的是 GitHub Team 或 GitHub Enterprise 计划,则整个团队或企业的许可证使用将显示在许可证页上。 请参阅 查看按流量计费的产品和许可证的使用情况

管理 GitHub Advanced Security

企业所有者可以管理 GitHub Advanced Security 其企业的许可和访问权限,包括在所有存储库中禁用 GitHub Advanced Security 并防止将来重新启用。 请参阅“管理GitHub高级安全性的批量许可证”。

有关管理 GitHub Advanced Security 许可证的信息,请参阅 管理您对Advanced Security的付费使用情况

关于 GitHub Advanced Security 认证

可以通过获取GitHub Advanced SecurityGitHub Certifications证书来展示你的知识。 该认证可检验你在漏洞识别、工作流安全性和可靠的安全实现方面的专业知识。 请参阅“关于 GitHub Certifications”。

关于 Azure Repos 的 GitHub Advanced Security

如果要将 与 Azure Repos 配合使用,请参阅我们资源网站中的 & Azure DevOps。 有关文档,请参阅 Microsoft Learn 中的 Configure GitHub Advanced Security for Azure DevOps

其他阅读材料