Совместная работа во временной частной вилке для устранения уязвимостей безопасности репозитория

Предпосылки

Прежде чем вы сможете совместно работать во временной частной вилке, необходимо создать черновик рекомендаций по безопасности. Дополнительные сведения см. в разделе Создание рекомендаций по безопасности репозитория.

Создание временной частной вилки

Чтобы обеспечить безопасность сведений об уязвимостях, интеграции, включая CI, не имеют доступа к временным частным вилкам.

1. На GitHubперейдите на главную страницу репозитория.

2. Под названием репозитория нажмите на Security and quality вкладку. Если вы не видите вкладку « Security and quality» — выберите выпадающее меню и нажмите Security and quality.

3. В левой боковой панели в разделе "Отчеты" щелкните Помощники.

4. В списке "Помощники по безопасности" щелкните имя рекомендаций по безопасности, которые вы хотите создать временный закрытый вилку.

5. Прокрутите страницу до нижней части консультативной формы и нажмите кнопку "Пуск временной частной вилки".

   

   Создается закрытый вилок репозитория и отображается на странице рекомендаций.

   Соглашение об именовании для закрытого вилки очень похоже на соглашение, используемое для помощников в GitHub Advisory Database и соответствует следующему формату: где: repo-ghsa-xxxx-xxxx-xxxx

   • repo — имя репозитория. Чтобы остаться в пределах 100 символов в именах репозитория, мы усечены имя исходного репозитория до 80 символов.
   • xxxx-xxxx-xxxx — уникальный идентификатор проекта рекомендаций по безопасности:
     • x— буква или число из следующего набора. 23456789cfghjmpqrvwx
     • Числа и буквы назначаются случайным образом.
     • Все буквы и цифры являются строчными.

Например, если вы создаете временный закрытый вилку в вызываемом octocat-repoрепозитории, а автоматически созданный идентификатор для проекта рекомендаций — GHSA-x854-cvjg-vx26это octocat-repo-ghsa-x854-cvjg-vx26временный вилок.

Можно также использовать REST API для создания временных частных вилок. Дополнительные сведения см. в статье "Создание временного закрытого вилки " в документации по REST API.

Добавление участников совместной работы во временную частную вилку

Любой пользователь с разрешениями администратора в рекомендациях по безопасности может добавить дополнительных участников совместной работы в раздел рекомендаций по безопасности, а участники совместной работы над рекомендациями по безопасности могут получить доступ к временной частной вилке. Дополнительные сведения см. в разделе Добавление участника совместной работы в рекомендации по безопасности репозитория.

Добавление изменений к временной частной вилке

Любой пользователь с разрешениями на запись в советы по безопасности может совместно работать над исправлением, зафиксировав изменения во временной частной вилке.

1. На GitHubперейдите на главную страницу репозитория.

2. Под названием репозитория нажмите на Security and quality вкладку. Если вы не видите вкладку « Security and quality» — выберите выпадающее меню и нажмите Security and quality.

3. В левой боковой панели в разделе "Отчеты" щелкните Помощники.

4. В списке "Помощники по безопасности" щелкните имя рекомендаций по безопасности, над которые вы хотите работать.

5. Вы можете внести изменения в GitHub или локально:

   • Чтобы внести изменения в GitHub, в разделе "Совместная работа по исправлению" щелкните временную частную вилку. Затем создайте новую ветвь и измените файлы. Дополнительные сведения см. в разделе [AUTOTITLE и Создание и удаление ветвей в репозитории](/repositories/working-with-files/managing-files/editing-files).
   • Чтобы добавить изменения локально, следуйте инструкциям в разделах "Клонирование и создание новой ветви" и "Внесение изменений и отправка".
   

Создание запроса на вытягивание из временной частной вилки

Любой пользователь с разрешениями на запись в рекомендациях по безопасности может создать запрос на вытягивание из временной частной вилки.

1. На GitHubперейдите на главную страницу репозитория.

2. Под названием репозитория нажмите на Security and quality вкладку. Если вы не видите вкладку « Security and quality» — выберите выпадающее меню и нажмите Security and quality.

3. В левой боковой панели в разделе "Отчеты" щелкните Помощники.

4. В списке "Помощники по безопасности" щелкните имя рекомендаций по безопасности, в которые вы хотите создать запрос на вытягивание.

5. Прокрутите страницу до нижней части консультативной формы. Затем в разделе "Совместная работа по исправлению" нажмите кнопку "Сравнить и вытягивать запрос", чтобы создать запрос на вытягивание связанной ветви.

             ![Снимок экрана: область "Совместная работа с исправлением" проекта рекомендаций по безопасности. Кнопка "Сравнение и запрос на вытягивание" описана в темно-оранжевый цвет.](/assets/images/help/security/security-advisory-compare-and-pr.png)
   

В заголовке "Открыть запрос на вытягивание" отображается ветви, которые будут сравниваться в сравнении с тремя точками Git при создании запроса на вытягивание. Дополнительные сведения см. в разделе Сравнение ветвей в запросе на вытягивание.

1. Чтобы создать запрос на вытягивание, готовый к проверке, нажмите кнопку Создать запрос на вытягивание. Чтобы создать черновик запроса на вытягивание, нажмите на раскрывающийся список и выберите Создать черновик запроса на вытягивание, а затем Черновик запроса на вытягивание. Если вы являетесь членом организации, возможно, потребуется запросить доступ к черновику запросов на вытягивание из владелец организации. См . раздел AUTOTITLE.

Вы не можете объединить отдельные запросы на вытягивание во временной частной вилке. Вместо этого согласно соответствующей рекомендации по безопасности следует объединить все открытые запросы на вытягивание одновременно. Дополнительные сведения см. в разделе "Слияние изменений" в рекомендациях по безопасности.

Слияние изменений в рекомендациях по безопасности

Любой пользователь с разрешениями администратора в рекомендациях по безопасности может выполнять слияние изменений в рекомендациях по безопасности.

Вы не можете объединить отдельные запросы на вытягивание во временной частной вилке. Вместо этого согласно соответствующей рекомендации по безопасности следует объединить все открытые запросы на вытягивание одновременно.

Перед слиянием изменений в рекомендациях по безопасности все открытые запросы на вытягивание во временной частной вилке должны быть с возможностью слияния. Чтобы обеспечить безопасность сведений об уязвимостях, проверки состояния не выполняются на запросах на вытягивание во временных частных вилках. Дополнительные сведения см. в разделе Сведения о защищенных ветвях.

Кроме того, не может быть конфликт слияния, а GitHub не будет применять какие-либо правила защиты, которые вы могли настроить для ветви, в которую вы пытаетесь объединить изменения.

1. На GitHubперейдите на главную страницу репозитория.
2. Под названием репозитория нажмите на Security and quality вкладку. Если вы не видите вкладку « Security and quality» — выберите выпадающее меню и нажмите Security and quality.
3. В левой боковой панели в разделе "Отчеты" щелкните Помощники.
4. В списке "Помощники по безопасности" щелкните имя рекомендации по безопасности с изменениями, которые вы хотите объединить.
5. Прокрутите страницу до нижней части консультативной формы. Затем в разделе "Это рекомендации готовы к объединению", нажмите кнопку "Объединить запросы на вытягивание", чтобы объединить все открытые запросы на вытягивание во временном закрытом вилке.

После слияния изменений в рекомендации по безопасности можно опубликовать эту рекомендацию, чтобы сообщить сообществу об уязвимости системы безопасности в предыдущих версиях проекта. Дополнительные сведения см. в разделе Публикация рекомендаций по безопасности репозитория.

Дополнительные материалы

• Рекомендации по безопасности репозитория
• Публикация рекомендаций по безопасности репозитория