Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Расширенная безопасность GitHub для Azure DevOps предоставляет комплексные возможности проверки безопасности с подробными элементами управления разрешениями. В этой статье описывается настройка разрешений для оповещений системы безопасности, управление уровнями доступа и настройка безопасной проверки подлинности для API расширенной безопасности.
GitHub Advanced Security для Azure DevOps работает с Azure Repos. Чтобы использовать GitHub Advanced Security с репозиториями GitHub, см. GitHub Advanced Security.
Предпосылки
| Категория | Требования |
|---|---|
| Разрешения | — Чтобы просмотреть сводку всех оповещений для репозитория, нужны разрешения участника для репозитория. — Чтобы отклонить оповещения в Advanced Security: администратор проекта разрешения. — Для управления разрешениями в Расширенной безопасности: быть членом группы Администраторов коллекции проектов или иметь разрешение Расширенная безопасность: управление параметрами установлено на Разрешить. |
Дополнительные сведения о разрешениях расширенной безопасности см. в разделе Управление разрешениями расширенной безопасности.
Определения разрешений
Расширенная безопасность представляет три специализированных разрешения, которые управляют доступом к функциям безопасности:
| Разрешение | Описание | Случаи использования |
|---|---|---|
| Расширенная безопасность: чтение оповещений | Просмотр оповещений системы безопасности, уязвимостей и результатов сканирования | Аналитики безопасности, разработчики, проверяющие код |
| Расширенная безопасность: управление и отклонение оповещений | Отключение ложных срабатываний, управление жизненным циклом оповещений | Инженеры по безопасности, ведущие разработчики |
| Расширенная безопасность: управление параметрами | Включение и отключение дополнительных функций безопасности (оплачиваемое действие) | Администраторы проектов, руководители безопасности |
Назначения разрешений по умолчанию
| Группа Azure DevOps | Разрешения по умолчанию |
|---|---|
| Участники | Расширенная безопасность: чтение оповещений |
| Администратор проекта | Расширенная безопасность: чтение оповещений, управление и закрытие оповещений |
| Администратор коллекции проектов | Расширенная безопасность: чтение оповещений, управление оповещениями и отмена оповещений, управление параметрами |
Замечание
Только пользователи с разрешением "Управление параметрами" могут включать функции расширенной безопасности, что может привести к начислению платы. При предоставлении этого разрешения используйте осторожность.
Управление разрешениями расширенной безопасности
Вы можете настроить разрешения расширенной безопасности для определенных репозиториев в соответствии с вашими требованиями к безопасности. Это действие полезно, если необходимо предоставить разным уровням доступа участникам группы, основанным на их ролях и обязанностях.
Распространенные сценарии настройки разрешений
- Доступ группы безопасности. Предоставление полных разрешений аналитикам безопасности
- Доступ разработчика . Предоставление доступа только для чтения для команд разработчиков
- Требования к соответствию требованиям . Ограничение управления параметрами авторизованным персоналом
Настройка разрешений для конкретного репозитория
Если раскрывающийся список разрешений отключен, обратитесь к администратору проекта, чтобы получить необходимые разрешения для управления параметрами безопасности.
Чтобы настроить разрешения для определенного репозитория, выполните следующие действия.
Выберите параметры проекта>хранилищ.
Выберите конкретный репозиторий, для который необходимо настроить разрешения.
Выберите Безопасность.
Выберите группу безопасности, для которой нужно настроить разрешения.
Изменение разрешения. При успешном выполнении флажок отображается рядом с выбранным разрешением.
Проверка подлинности для API расширенной безопасности
Используйте токены идентификации Microsoft Entra (рекомендуется)
Токены идентификатора Microsoft Entra — это предпочтительный метод проверки подлинности для доступа к API GitHub Advanced Security для Azure DevOps. Они обеспечивают повышенную безопасность с помощью стандартов OAuth 2.0 и простой интеграции с корпоративными системами удостоверений.
Преимущества проверки подлинности идентификатора Microsoft Entra:
- Улучшенная безопасность - соответствие OAuth 2.0 с автоматическим обновлением токена
- Интеграция Enterprise — встроенная поддержка политик условного доступа и многофакторной проверки подлинности
- Аудит и соответствие требованиям— улучшение отслеживания и ведения журнала для операций безопасности
- Минимальный доступ к привилегиям — точное управление областью, согласованное с политиками безопасности вашей организации
Подробные рекомендации по реализации см. в статье Microsoft Entra Authentication for Azure DevOps.
Использование личных токенов доступа
Это важно
Рассмотрите возможность использования более безопасных маркеров Microsoft Entra по сравнению с более высоким уровнем риска персональных маркеров доступа. Дополнительные сведения см. в разделе "Сокращение использования PAT". Просмотрите рекомендации по проверке подлинности , чтобы выбрать правильный механизм проверки подлинности для ваших потребностей.
Вы можете использовать личный маркер доступа для использования расширенных API безопасности. Дополнительные сведения см. в разделе "Использование личных маркеров доступа".
Расширенная безопасность предлагает три дополнительных области для PAT: read, read and writeи read, write, and manage.