jak sloučit větve v GitHubu, zrušit sloučení v GitHubu, větev v GitHubu

Vytvořte větev na GitHubu a bezpečně ji sloučte

Naučit se, jak vytvořit větev na GitHubu, je prvním krokem. Zvládnutí bezpečného slučování větví na GitHubu je však stejně důležité pro každou větev. GitHub pracovní postup. V tomto příspěvku vás tedy provedeme celým procesem, počínaje jak vytvořit pobočku v GitHubu a pak ti ukážu jak sloučit větve v GitHubu bezpečně. Také se budeme zabývat tím, jak zrušit sloučení, pokud narazíte na nějaké problémy, a nakonec jak vám Xygeni může pomoci odhalit každý problém dříve, než se dostane do vaší hlavní větve.

Pojďme si to projít krok za krokem.

1. Jak správně vytvořit pobočku v GitHubu

Každý bezpečný pracovní postup začíná vytvořením větve v GitHubu. To umožňuje vývojářům izolovat funkce, opravy nebo experimenty bez ovlivnění produkčního kódu.

Vytvoření větve v GitHubu:

1. Přejděte do svého repozitáře

2. Klikněte na rozbalovací nabídku pro výběr větví

jak sloučit větve v GitHubu, zrušit sloučení v GitHubu a větve v GitHubu

3. Zadejte název vaší nové pobočky

4. cvaknutí Vytvořit pobočku

jak sloučit větve v GitHubu, zrušit sloučení v GitHubu a větve v GitHubu

Odtud je vaše nová větev připravena ke spuštění. Nyní můžete nahrávat kód, spolupracovat na změnách a nakonec otevřít pull requestPřestože se jedná o základní akci GitHubu, připravuje půdu pro bezpečný vývoj.

Důležité je, že pokaždé, když v GitHubu vytvoříte větev, by měla být součástí opakovatelného a chráněného pracovního postupu.

2. Skenování Pull Requests Automaticky před sloučením

Když vytvoříte větev na GitHubu a připravíte se na kontrolu, dalším krokem je pochopení toho, jak bezpečně sloučit větve na GitHubu. Každé odeslání větve na GitHub by mělo spustit automatické kontroly. Před sloučením je však nezbytné… ověřit si že kód nezavádí zranitelnosti. Jediný nebezpečný commit může zveřejnit vaši aplikaci, leak secretnebo narušit kritickou infrastrukturu.

Sloučení kódu do hlavní větve je operace s vysokým dopadem. Bez řádných kontrol může vést k vážným důsledkům, jako například:

A právě zde Xygeni dělá skutečný rozdíl.

Pomocí Akce GitHub, můžete spustit automatizované skenování Xygeni kdykoli vývojář otevře pull request do chráněné větve. Chráněná větev v GitHubu je taková, která vyžaduje specifické kontroly nebo schválení před povolením sloučení změn.

Xygeni analyzuje nejnovější provedení pull request workflow ověřit bezpečnostní stav navrhovaných změn. To zahrnuje kontrolu problémy v kódu, závislosti, tajné kódy a CI/CD konfiguracíCelá větev se znovu neprohledá, ale k vynucení zásad a blokování nebezpečných sloučení se použije nejnovější výsledek pracovního postupu.

Tyto kontroly ověřují, zda je kód bezpečný a připravený k produkčnímu prostředí. Detekují:

Integrace tyto včasné kontroly zajišťují že pokaždé, když na GitHubu vytvoříte větev a připravíte se na sloučení, uděláte to pomocí plná viditelnost a kontrola.

Zde je zjednodušené nastavení:

on:   pull_request:     branches: [ main ] jobs:   xygeni-scan:     runs-on: ubuntu-latest     steps:       - name: Checkout         uses: actions/checkout@v3       - name: Xygeni Scanner         uses: xygeni/xygeni-action@3.2.0         with:           token: ${{ secrets.XYGENI_TOKEN }}

3. Blokujte nezabezpečené sloučení pomocí Guardrails

Guardrails, ujistěte se, že při vytváření větve na GitHubu nebo pokusu o sloučení větví na GitHubu se do nastavení vaší hlavní větve na GitHubu dostanou pouze bezpečné změny. Xygeni vám dává plná kontrola nad tím, co se sloučíMůžete definovat předběžnécispravidla přizpůsobená vašim bezpečnostním zásadám a toleranci rizik. Například:

  • Blokovat, pokud je klíčový tajný kód je nalezen (např. klíče AWS, tokeny)
  • Neúspěšná sestava Pokud nové vysoce rizikové je představen balíček s otevřeným zdrojovým kódem
  • Odmítnout pull requests že upravit citlivé cesty jako .github/workflows/, infrastructure/nebo secrets.env
  • Zabránit sloučení Pokud downgrade znovu zavádí známý zranitelností
  • Blokovat CI/CD změny konfigurace pokud není řádně označeno
  • Zastavit slučování, pokud SAST detekuje vysokou nebo kritické problémy
  • Použít přísnější Guardrails na výrobních pobočkách při zachování flexibility ve vývoji

Tato pravidla fungují jako automatičtí strážci. Pomáhají vašemu týmu slučovat pouze to, co je bezpečné, bez překvapení, bez ručních kontrol a bez nutnosti hašení na poslední chvíli.

Příklad pravidla pro zábradlí:

guardrail block_critical_secrets   on secrets   when severity = critical   then @fail()

Vizuální zpětná vazba v Dashboard

jak sloučit větve v GitHubu, zrušit sloučení v GitHubu a větve v GitHubu

Pro zajištění úplné viditelnosti Xygeni zobrazuje výsledek posledního vyhodnocení stavu svodidel.

  • Především, zelená ikona znamená, že všechny zásady byly schváleny.
  • V porovnáníČervená ikona signalizuje porušení jedné nebo více podmínek zábradlí.

Díky tomu vývojáři i bezpečnostní týmy získají okamžitý přehled o tom, proč byla sloučení zablokováno, aniž by museli procházet protokoly CI.

Skutečný příklad z Dashboard:

Řekněme například, že repozitář nemá žádné chráněné větve, což je běžná chybná konfigurace, která umožňuje vývojářům publikovat commitbez ověření. To je vážné riziko.

Xygeni to automaticky detekuje a označí jako podepsaný_commits problém v rámci CI/CD kategorie. The dashboard zdůrazňuje:

  • Vážnost: Vysoký
  • Typ: Podepsaný Commits
  • Vysvětlení: Repozitář nemá žádné chráněné větve
  • Stav: Otevřená

Díky této kontextově obohacené zpětné vazbě mohou týmy rychle identifikovat riziko, pochopit jeho dopad a přijmout nápravná opatření, a to vše z uživatelského rozhraní Xygeni.

Vlastní Chování při vynucování

Vždycky máte vše pod kontrolou. Vyberte si, jak přísné Guardrails mělo by:

  • --fail-on=critical: Blok se slučují pouze u závažných nálezů
  • --never-fail: Běh Guardrails v režimu nudného spuštění pro otestování zásad před jejich vynucením

Takže až příště vytvoříte větev na GitHubu, vaše Guardrails jsou již tam a chrání vaše pipeline a automatické vynucování vašich zásad.

Jak poznám, zda je aplikace na GitHubu bezpečná?

Naučte se, jak vyhodnotit aplikace GitHubu před jejich instalací.

Související čtení:

4. Automatické zrušení sloučení v GitHubu při nalezení rizik

Pokud jsou zjištěna rizika, sloučení se zruší. Toto ochranné opatření chrání každý projekt větve na GitHubu a vynucuje osvědčené postupy pro sloučení větví na GitHubu.

Xygeni se integruje přímo do uživatelského rozhraní GitHubu. Když je zjištěno riziko:

  • GitHub ukazuje, že kontrola selhala.
  • Ochrany GitHubu brání sloučení
  • Fronta slučování přeskakuje nezabezpečený kód

Ať už se jedná o tajné, CVE nebo nebezpečné CI/CD vzor, ​​výsledek je stejný: sloučení je v GitHubu zrušeno a označeno k přezkoumání.

Podrobné výsledky si můžete také prohlédnout v Xygeni:

  • Bezpečnostní stav každé pobočky
  • Proč byla sloučení zablokována
  • Kompletní historie skenování
  • Stav zábradlí zobrazený zelenou (úspěšný) nebo červenou (neúspěšný) ikonou na stránce projektu

Tato vizuální zpětná vazba usnadňuje vývojářům a bezpečnostním týmům jednat s jistotou. A když potřebujete hlubší kontext, každý problém odkazuje na dokumentaci s uvedením závažnosti, štítků, umístění a pokynů k zmírnění následků.

Sloučit pouze to, co je bezpečné

Stručně řečeno, zde je návod, jak bezpečně sloučit po vytvoření větve v GitHubu:

  • Vytvoření větve na GitHubu prostřednictvím uživatelského rozhraní
  • Spouštět automatické skenování s každým pull request s Xygeni 
  • Blokovat nezabezpečené sloučení pomocí Guardrails
  • Pro hlubší kontrolu používejte zásady auditu na straně serveru
  • Zrušit sloučení v GitHubu, když se něco nezdaří
  • Vizualizace všech výsledků v Xygeni dashboard

Další osvědčené postupy pro ochranu repozitářů naleznete v našich Nejčastější dotazy k zabezpečení na GitHubu: Co by měl vědět každý vývojář.

Přestože je slučování základní operace, jeho bezpečné provádění vyžaduje skutečnou viditelnost a automatizaci. S Xygeni nejen slučujete kód, ale slučujete důvěru.

Chraňte každou pobočku GitHubu s jistotou

Jeden přehlížený problém v pull request může ohrozit vaši hlavní pobočku. Tradiční skenery často běží příliš pozdě, přehlížejí kritická rizika nebo nedokážou vynucovat smysluplné zásady.

Proto ochrana vašich větví GitHubu vyžaduje více než jen skenování.

Xygeni zajišťuje skutečné vymáhání práva. Když pull request cílí na chráněnou větev, Xygeni analyzuje poslední spuštění vaší CI/CD pracovního postupu. Neprohledává celou větev znovu. Místo toho vyhodnocuje nejnovější výsledky a kontroluje bezpečnostní problémy v kódu, závislostech, tajných kódech a konfiguracích pracovního postupu. Nejste jen upozorněni. Jste chráněni.

Čím se liší:

  • Ověření v plném kontextu: Guardrails vynucovat zásady s využitím bohatého kontextu, jako je závažnost, zneužitelnost a metadata větví.
  • Vestavěná integrace s GitHubem: Vše od skenování až po vynucování běží nativně ve vašich pracovních postupech GitHubu, bez nutnosti vlastních skriptů nebo spojovacího kódu.
  • Audity na straně serveru: Na straně serveru Guardrails ověřit výsledky po nahrání a přidat druhou vrstvu kontroly mimo pipeline.

Místo spoléhání se na nastavení vaší CI, které vše zachytí, Xygeni používá automatizované, zásadami založené na ochraně osobních údajů.cisionty dříve, než se cokoli dostane do vaší hlavní větve.

Přestože je slučování základní operace, její bezpečné provedení vyžaduje skutečnou viditelnost a automatizaci. S Xygeni nejen chráníte svá repozitáře, ale s jistotou chráníte každou větev GitHubu.

nástroje pro analýzu složení softwaru SCA
Stanovte priority, opravte a zabezpečte svá softwarová rizika
Získejte svůj bezplatný účet.
Nevyžaduje se žádná kreditní karta.

Zajistěte si vývoj a dodávky softwaru

s produktovým balíčkem Xygeni