GitHub有许多功能可以帮助您提高和维护代码的质量。其中一些内容包括在所有计划中,例如依赖关系图和Dependabot警报。其他安全功能需要GitHub Advanced security(GHAS)许可证才能在GitHub.com上公共存储库以外的存储库上运行。
有关如何免费试用GitHub Enterprise with GitHup Advanced Security的信息,请参阅“设置GitHub企业云的试用“和”设置GitHub Advanced Security的试用“在GitHub企业云文档中。
要购买GitHub Advanced Security许可证,您必须使用GitHup Enterprise。有关使用GitHub Advanced Security升级到GitHup Enterprise的信息,请参阅“GitHub的计划“和”关于GitHub高级安全计费."
GitHub高级安全许可证为私有存储库提供了以下附加功能:
-
代码扫描-使用CodeQL或第三方工具搜索代码中的潜在安全漏洞和编码错误。有关详细信息,请参阅“关于代码扫描“和”关于使用CodeQL进行代码扫描."
-
代码QL CLI-在软件项目上本地运行CodeQL进程,或生成代码扫描结果以上载到GitHub。有关详细信息,请参阅“关于CodeQL CLI."
-
秘密扫描-检测已检入私有存储库的机密,例如密钥和令牌。如果启用了推送保护,GitHub还会在将机密推送到存储库时检测到它们。GitHub.com上的所有公共存储库都免费提供用户的秘密扫描警报和推送保护。有关详细信息,请参阅“关于秘密扫描“和”推动对存储库和组织的保护."
-
自定义自动变量规则-帮助您大规模管理可靠警报。使用自定义自动变量规则,您可以控制要忽略、暂停或触发Dependabot安全更新的警报。有关详细信息,请参阅“关于Dependabot警报“和”自定义自动变量规则以确定相关警报的优先级."
-
依赖性审查-在合并拉取请求之前,显示依赖项更改的全部影响,并查看任何易受攻击版本的详细信息。有关详细信息,请参阅“关于依赖关系审阅."
下表总结了GitHub Advanced Security功能在公共和私有存储库中的可用性。
有关正在开发的高级安全功能的信息,请参阅“GitHub公共路线图。“有关所有安全功能的概述,请参阅”GitHub安全功能."
GitHub.com上的所有公共存储库都启用了GitHub高级安全功能。使用具有高级安全功能的GitHup企业云的组织还可以为私有和内部存储库启用这些功能。有关更多信息,请参阅GitHub企业云文档.
您可以通过GitHub认证获得GitHubAdvanced security证书来突出您的代码安全知识。该认证验证了您在漏洞识别、工作流安全和强健安全实现方面的专业技能。有关详细信息,请参阅“关于GitHub认证."