К содержанию
Новости

GitHub Security Lab перечислила шесть базовых настроек безопасности для репозиториев

GitHub Security Lab перечислила шесть базовых настроек безопасности для репозиториев
Фото: GitHub Blog (Engineering / Copilot / AI)

GitHub Security Lab выпустила рекомендации для мейнтейнеров проектов на GitHub. Команда советует включить шесть бесплатных настроек безопасности, которые, по её оценке, заметно усложняют атаки на репозитории. Как пишет GitHub Blog (Engineering / Copilot / AI), все изменения можно настроить меньше чем за полчаса через единый сценарий Protect Your Project.

В список вошли SECURITY.md с контактами для сообщений об уязвимостях, private vulnerability reporting, secret scanning с push protection, а также Dependabot, dependency review и code scanning. В GitHub поясняют, что SECURITY.md помогает исследователям безопасности отправлять отчёты приватно. Private vulnerability reporting, в свою очередь, позволяет разбирать такие сообщения без публичного раскрытия проблемы.

Отдельно компания обратила внимание на утечки секретов и токенов. По данным GitGuardian State of Secrets Sprawl 2026, в 2025 году в публичных репозиториях GitHub нашли 28,65 млн новых секретов, это на 34% больше, чем годом ранее. В отчёте также сказано, что AI-assisted commits приводят к утечкам примерно вдвое чаще базового уровня. Поэтому GitHub рекомендует использовать secret scanning с push protection, чтобы блокировать публикацию ключей ещё до отправки изменений в репозиторий.

Для работы с зависимостями GitHub советует включать Dependabot и dependency review. Dependabot предупреждает об известных уязвимостях в пакетах, а dependency review показывает в pull request, какие зависимости были добавлены или обновлены и есть ли для них открытые advisories. Code scanning, по описанию компании, помогает находить типовые ошибки вроде SQL injection, command injection и dangerous deserialization с помощью статического анализа кода.

Ключевые факты

  • GitHub Security Lab рекомендовала шесть бесплатных настроек безопасности для репозиториев

  • Protect Your Project объединяет настройку рекомендаций в единый сценарий менее чем за 30 минут

  • По данным GitGuardian State of Secrets Sprawl 2026, в 2025 году в публичных репозиториях GitHub обнаружили 28,65 млн новых секретов, на 34% больше год к году

  • В отчёте IBM 2025 Cost of a Data Breach Report средняя стоимость утечки данных оценена в 4,44 млн $, а в США, в 10,22 млн $