Naučit se, jak vytvořit větev na GitHubu, je prvním krokem. Zvládnutí bezpečného slučování větví na GitHubu je však stejně důležité pro každou větev. GitHub pracovní postup. V tomto příspěvku vás tedy provedeme celým procesem, počínaje jak vytvořit pobočku v GitHubu a pak ti ukážu jak sloučit větve v GitHubu bezpečně. Také se budeme zabývat tím, jak zrušit sloučení, pokud narazíte na nějaké problémy, a nakonec jak vám Xygeni může pomoci odhalit každý problém dříve, než se dostane do vaší hlavní větve.
Pojďme si to projít krok za krokem.
1. Jak správně vytvořit pobočku v GitHubu
Každý bezpečný pracovní postup začíná vytvořením větve v GitHubu. To umožňuje vývojářům izolovat funkce, opravy nebo experimenty bez ovlivnění produkčního kódu.
Vytvoření větve v GitHubu:
1. Přejděte do svého repozitáře
2. Klikněte na rozbalovací nabídku pro výběr větví
3. Zadejte název vaší nové pobočky
4. cvaknutí Vytvořit pobočku
Odtud je vaše nová větev připravena ke spuštění. Nyní můžete nahrávat kód, spolupracovat na změnách a nakonec otevřít pull requestPřestože se jedná o základní akci GitHubu, připravuje půdu pro bezpečný vývoj.
Důležité je, že pokaždé, když v GitHubu vytvoříte větev, by měla být součástí opakovatelného a chráněného pracovního postupu.
2. Skenování Pull Requests Automaticky před sloučením
Když vytvoříte větev na GitHubu a připravíte se na kontrolu, dalším krokem je pochopení toho, jak bezpečně sloučit větve na GitHubu. Každé odeslání větve na GitHub by mělo spustit automatické kontroly. Před sloučením je však nezbytné… ověřit si že kód nezavádí zranitelnosti. Jediný nebezpečný commit může zveřejnit vaši aplikaci, leak secretnebo narušit kritickou infrastrukturu.
Sloučení kódu do hlavní větve je operace s vysokým dopadem. Bez řádných kontrol může vést k vážným důsledkům, jako například:
- Zranitelnosti nulového dne proniká do výroby
- Známý CVE zavedené prostřednictvím balíčků s otevřeným zdrojovým kódem
- Pevně zakódovaná tajemství odesláno do repozitáře
- Nesprávná konfigurace infrastruktury které oslabují vaši obranyschopnost
- Škodlivý nebo pozměněný kód vstup přes závislosti
A právě zde Xygeni dělá skutečný rozdíl.
Pomocí Akce GitHub, můžete spustit automatizované skenování Xygeni kdykoli vývojář otevře pull request do chráněné větve. Chráněná větev v GitHubu je taková, která vyžaduje specifické kontroly nebo schválení před povolením sloučení změn.
Xygeni analyzuje nejnovější provedení pull request workflow ověřit bezpečnostní stav navrhovaných změn. To zahrnuje kontrolu problémy v kódu, závislosti, tajné kódy a CI/CD konfiguracíCelá větev se znovu neprohledá, ale k vynucení zásad a blokování nebezpečných sloučení se použije nejnovější výsledek pracovního postupu.
Tyto kontroly ověřují, zda je kód bezpečný a připravený k produkčnímu prostředí. Detekují:
- Zranitelnosti kódu (SAST)
- Zranitelné balíčky s otevřeným zdrojovým kódem (SCA)
- Pevně zakódovaná tajemství
- IaC chybné konfigurace
- Potenciální malware
Integrace tyto včasné kontroly zajišťují že pokaždé, když na GitHubu vytvoříte větev a připravíte se na sloučení, uděláte to pomocí plná viditelnost a kontrola.
Zde je zjednodušené nastavení:
on: pull_request: branches: [ main ] jobs: xygeni-scan: runs-on: ubuntu-latest steps: - name: Checkout uses: actions/checkout@v3 - name: Xygeni Scanner uses: xygeni/xygeni-action@3.2.0 with: token: ${{ secrets.XYGENI_TOKEN }} 3. Blokujte nezabezpečené sloučení pomocí Guardrails
Guardrails, ujistěte se, že při vytváření větve na GitHubu nebo pokusu o sloučení větví na GitHubu se do nastavení vaší hlavní větve na GitHubu dostanou pouze bezpečné změny. Xygeni vám dává plná kontrola nad tím, co se sloučíMůžete definovat předběžnécispravidla přizpůsobená vašim bezpečnostním zásadám a toleranci rizik. Například:
- Blokovat, pokud je klíčový tajný kód je nalezen (např. klíče AWS, tokeny)
- Neúspěšná sestava Pokud nové vysoce rizikové je představen balíček s otevřeným zdrojovým kódem
- Odmítnout pull requests že upravit citlivé cesty jako
.github/workflows/,infrastructure/nebosecrets.env - Zabránit sloučení Pokud downgrade znovu zavádí známý zranitelností
- Blokovat CI/CD změny konfigurace pokud není řádně označeno
- Zastavit slučování, pokud SAST detekuje vysokou nebo kritické problémy
- Použít přísnější Guardrails na výrobních pobočkách při zachování flexibility ve vývoji
Tato pravidla fungují jako automatičtí strážci. Pomáhají vašemu týmu slučovat pouze to, co je bezpečné, bez překvapení, bez ručních kontrol a bez nutnosti hašení na poslední chvíli.
Příklad pravidla pro zábradlí:
guardrail block_critical_secrets on secrets when severity = critical then @fail() Vizuální zpětná vazba v Dashboard
Pro zajištění úplné viditelnosti Xygeni zobrazuje výsledek posledního vyhodnocení stavu svodidel.
- Především, zelená ikona znamená, že všechny zásady byly schváleny.
- V porovnáníČervená ikona signalizuje porušení jedné nebo více podmínek zábradlí.
Díky tomu vývojáři i bezpečnostní týmy získají okamžitý přehled o tom, proč byla sloučení zablokováno, aniž by museli procházet protokoly CI.
Skutečný příklad z Dashboard:
Řekněme například, že repozitář nemá žádné chráněné větve, což je běžná chybná konfigurace, která umožňuje vývojářům publikovat commitbez ověření. To je vážné riziko.
Xygeni to automaticky detekuje a označí jako podepsaný_commits problém v rámci CI/CD kategorie. The dashboard zdůrazňuje:
- Vážnost: Vysoký
- Typ: Podepsaný Commits
- Vysvětlení: Repozitář nemá žádné chráněné větve
- Stav: Otevřená
Díky této kontextově obohacené zpětné vazbě mohou týmy rychle identifikovat riziko, pochopit jeho dopad a přijmout nápravná opatření, a to vše z uživatelského rozhraní Xygeni.
Vlastní Chování při vynucování
Vždycky máte vše pod kontrolou. Vyberte si, jak přísné Guardrails mělo by:
--fail-on=critical: Blok se slučují pouze u závažných nálezů--never-fail: Běh Guardrails v režimu nudného spuštění pro otestování zásad před jejich vynucením
Takže až příště vytvoříte větev na GitHubu, vaše Guardrails jsou již tam a chrání vaše pipeline a automatické vynucování vašich zásad.
Jak poznám, zda je aplikace na GitHubu bezpečná?
Naučte se, jak vyhodnotit aplikace GitHubu před jejich instalací.
4. Automatické zrušení sloučení v GitHubu při nalezení rizik
Pokud jsou zjištěna rizika, sloučení se zruší. Toto ochranné opatření chrání každý projekt větve na GitHubu a vynucuje osvědčené postupy pro sloučení větví na GitHubu.
Xygeni se integruje přímo do uživatelského rozhraní GitHubu. Když je zjištěno riziko:
- GitHub ukazuje, že kontrola selhala.
- Ochrany GitHubu brání sloučení
- Fronta slučování přeskakuje nezabezpečený kód
Ať už se jedná o tajné, CVE nebo nebezpečné CI/CD vzor, výsledek je stejný: sloučení je v GitHubu zrušeno a označeno k přezkoumání.
Podrobné výsledky si můžete také prohlédnout v Xygeni:
- Bezpečnostní stav každé pobočky
- Proč byla sloučení zablokována
- Kompletní historie skenování
- Stav zábradlí zobrazený zelenou (úspěšný) nebo červenou (neúspěšný) ikonou na stránce projektu
Tato vizuální zpětná vazba usnadňuje vývojářům a bezpečnostním týmům jednat s jistotou. A když potřebujete hlubší kontext, každý problém odkazuje na dokumentaci s uvedením závažnosti, štítků, umístění a pokynů k zmírnění následků.
Sloučit pouze to, co je bezpečné
Stručně řečeno, zde je návod, jak bezpečně sloučit po vytvoření větve v GitHubu:
- Vytvoření větve na GitHubu prostřednictvím uživatelského rozhraní
- Spouštět automatické skenování s každým pull request s Xygeni
- Blokovat nezabezpečené sloučení pomocí Guardrails
- Pro hlubší kontrolu používejte zásady auditu na straně serveru
- Zrušit sloučení v GitHubu, když se něco nezdaří
- Vizualizace všech výsledků v Xygeni dashboard
Další osvědčené postupy pro ochranu repozitářů naleznete v našich Nejčastější dotazy k zabezpečení na GitHubu: Co by měl vědět každý vývojář.
Přestože je slučování základní operace, jeho bezpečné provádění vyžaduje skutečnou viditelnost a automatizaci. S Xygeni nejen slučujete kód, ale slučujete důvěru.
Chraňte každou pobočku GitHubu s jistotou
Jeden přehlížený problém v pull request může ohrozit vaši hlavní pobočku. Tradiční skenery často běží příliš pozdě, přehlížejí kritická rizika nebo nedokážou vynucovat smysluplné zásady.
Proto ochrana vašich větví GitHubu vyžaduje více než jen skenování.
Xygeni zajišťuje skutečné vymáhání práva. Když pull request cílí na chráněnou větev, Xygeni analyzuje poslední spuštění vaší CI/CD pracovního postupu. Neprohledává celou větev znovu. Místo toho vyhodnocuje nejnovější výsledky a kontroluje bezpečnostní problémy v kódu, závislostech, tajných kódech a konfiguracích pracovního postupu. Nejste jen upozorněni. Jste chráněni.
Čím se liší:
- Ověření v plném kontextu: Guardrails vynucovat zásady s využitím bohatého kontextu, jako je závažnost, zneužitelnost a metadata větví.
- Vestavěná integrace s GitHubem: Vše od skenování až po vynucování běží nativně ve vašich pracovních postupech GitHubu, bez nutnosti vlastních skriptů nebo spojovacího kódu.
- Audity na straně serveru: Na straně serveru Guardrails ověřit výsledky po nahrání a přidat druhou vrstvu kontroly mimo pipeline.
Místo spoléhání se na nastavení vaší CI, které vše zachytí, Xygeni používá automatizované, zásadami založené na ochraně osobních údajů.cisionty dříve, než se cokoli dostane do vaší hlavní větve.
Přestože je slučování základní operace, její bezpečné provedení vyžaduje skutečnou viditelnost a automatizaci. S Xygeni nejen chráníte svá repozitáře, ale s jistotou chráníte každou větev GitHubu.




