Aprann kijan pou kreye yon branch nan GitHub se premye etap la. Sepandan, metrize kijan pou rantre branch nan GitHub san danje enpòtan menm jan pou chak branch. GitHub workflow. Kidonk, nan pòs sa a, nou pral gide w nan tout pwosesis la, kòmanse avèk kijan pou kreye yon branch nan GitHub epi apre sa, montre ou kijan pou rantre branch nan GitHub san danje. Nou pral kouvri tou kijan pou anile yon fizyon si ou jwenn nenpòt pwoblèm, epi finalman, kijan Xygeni ka ede ou detekte chak pwoblèm anvan yo rive nan branch prensipal ou a.
Ann fè sa etap pa etap.
1. Kijan Pou Kreye yon Branch nan GitHub nan Bon Fason an
Chak workflow an sekirite kòmanse lè ou kreye yon branch nan GitHub. Li pèmèt devlopè yo izole karakteristik, koreksyon, oswa eksperyans san yo pa afekte kòd pwodiksyon an.
Pou kreye yon branch nan GitHub:
1. Ale nan depo ou a
2. Klike sou meni deroulant seleksyon branch lan
3. Tape non nouvo branch ou an
4. Klike sou Kreye yon branch
Apati de la, nouvo branch ou a pare pou itilize. Kounye a ou ka pouse kòd, kolabore sou chanjman, epi finalman louvri yon pull requestMalgre ke sa a se yon aksyon GitHub debaz, li prepare teren an pou yon devlopman an sekirite.
Sa ki enpòtan, chak fwa ou kreye yon branch nan GitHub, li ta dwe fè pati yon workflow ki ka repete epi ki pwoteje.
2. Eskane Pull Requests Otomatikman Anvan Ou Fizyone
Lè w ap kreye yon branch nan GitHub epi w ap prepare pou revizyon, pwochen etap la se konprann kijan pou w fusionne branch yo nan GitHub yon fason ki an sekirite. Chak push branch GitHub ta dwe deklanche verifikasyon otomatik. Men, anvan fusionne yo, li esansyèl pou verifye ki Kòd la pa prezante vilnerabilite. Yon sèl moun ki pa an sekirite commit ka ekspoze aplikasyon w lan, leak secrets, oubyen kraze enfrastrikti kritik.
Mete kòd nan branch prensipal ou a se yon operasyon ki gen anpil enpak. Si ou pa fè bon jan verifikasyon, sa ka mennen nan konsekans grav tankou:
- Vulnerabilite zewo jou glise nan pwodiksyon
- Li te ye CVEs prezante atravè pakè sous ouvè
- Sekrè ki kode an di pouse nan depo a
- Move konfigirasyon enfrastrikti ki febli defans ou yo
- Kòd move oswa modifye antre nan depandans yo
Se la Xygeni fè yon vrè diferans.
Lè l sèvi avèk Aksyon GitHub, ou ka deklanche eskanè Xygeni otomatik yo chak fwa yon devlopè ouvri yon pull request nan yon branch pwoteje. Yon branch pwoteje nan GitHub se youn ki mande verifikasyon oswa apwobasyon espesifik anvan chanjman yo otorize pou rantre.
Xygeni analize dènye ekzekisyon an pull request workflow pou valide pozisyon sekirite chanjman yo pwopoze yo. Sa gen ladan verifikasyon pou pwoblèm nan kòd la, depandans yo, sekrè yo, ak CI/CD konfigirasyonYo pa re-eskane tout branch lan, men yo itilize rezilta workflow ki pi resan an pou aplike règleman yo epi bloke fizyon ki pa an sekirite yo.
Eskan sa yo valide ke kòd la an sekirite epi li pare pou pwodiksyon. Yo detekte:
- Vilnerabilite kòd (SAST)
- Pakè sous ouvè ki vilnerab (SCA)
- Sekrè ki kode an di
- IaC move konfigirasyon
- Malveyan potansyèl
Entegre verifikasyon sa yo byen bonè asire ke chak fwa ou kreye yon branch nan GitHub epi ou prepare pou rantre, ou fè li avèk vizibilite ak kontwòl konplè.
Men yon konfigirasyon senplifye:
on: pull_request: branches: [ main ] jobs: xygeni-scan: runs-on: ubuntu-latest steps: - name: Checkout uses: actions/checkout@v3 - name: Xygeni Scanner uses: xygeni/xygeni-action@3.2.0 with: token: ${{ secrets.XYGENI_TOKEN }} 3. Bloke fizyon ki pa an sekirite ak Guardrails
Guardrails, asire w ke lè w kreye yon branch nan GitHub oubyen w ap eseye kijan pou w rantre branch nan GitHub, se sèlman chanjman ki an sekirite ki rive nan konfigirasyon prensipal branch GitHub ou a. Xygeni ba ou kontwòl total sou sa ki rantreOu ka defini precisrèg ki adapte ak règleman sekirite ou yo ak tolerans ou pou risk. Pa egzanp:
- Bloke si se yon sekrè kritik yo jwenn li (pa egzanp, kle AWS, jeton)
- Echèk konstriksyon an si yon nouvo gwo risk Yo prezante pake sous ouvè a
- Rejte pull requests ki modifye chemen sansib yo tankou
.github/workflows/,infrastructure/, Oswasecrets.env - Anpeche fizyon si yon degrade reentwodui li te ye frajilite
- Bloke CI/CD chanjman konfigirasyon sof si yo byen make
- Sispann fizyon yo si SAST detekte wo oswa pwoblèm kritik
- Aplike pi strik Guardrails sou branch pwodiksyon yo pandan y ap kenbe fleksibilite nan devlopman
Règ sa yo aji tankou gadyen otomatik. Yo ede ekip ou a rantre sèlman sa ki an sekirite, san sipriz, san revizyon manyèl, san dènye minit pou konbat dife.
Egzanp règ pou balistrad:
guardrail block_critical_secrets on secrets when severity = critical then @fail() Feedback vizyèl nan la Dashboard
Pou asire yon vizibilite konplè, Xygeni montre rezilta dènye evalyasyon sou sitiyasyon Guardrail la.
- Premye a tout, yon ikòn vèt vle di tout règleman yo te pase.
- Nan contrast, yon ikòn wouj siyal ke youn oubyen plizyè kondisyon Guardrail te vyole.
Kòm rezilta, ni devlopè yo ni ekip sekirite yo jwenn yon apèsi imedya sou poukisa yon fizyon te bloke, san yo pa bezwen fouye nan jounal CI yo.
Egzanp reyèl ki soti nan Dashboard:
Pa egzanp, ann di yon depo pa gen branch pwoteje, yon move konfigirasyon komen ki pèmèt devlopè yo pouse commits san verifikasyon. Sa se yon gwo risk.
Xygeni detekte sa otomatikman epi li make li kòm yon siyen_commits pwoblèm anba a CI/CD kategori. La dashboard en:
- Severite: segondè
- Tip de Anons: Siyen Commits
- Eksplikasyon: Repozitwa a pa gen okenn branch pwoteje
- Status: louvri
Se poutèt sa, avèk fidbak rich nan kontèks sa a, ekip yo ka byen vit idantifye risk la, konprann enpak li, epi pran aksyon korektif, tout sa apati koòdone itilizatè Xygeni a.
Customize Konpòtman Aplikasyon
Ou toujou gen kontwòl. Chwazi kijan pou ou strik. Guardrails ta dwe:
--fail-on=critical: Blokaj fizyon sèlman sou rezilta grav--never-fail: kouri Guardrails nan mòd dry-running pou teste règleman yo anvan yo aplike yo
Kidonk, pwochen fwa ou kreye yon branch nan GitHub, ou Guardrails yo deja la, ap pwoteje ou pipeline epi aplike règleman ou yo otomatikman.
Kijan pou m konnen si yon aplikasyon GitHub an sekirite?
Aprann kijan pou evalye aplikasyon GitHub yo anvan ou enstale yo.
4. Anile Merge nan GitHub Otomatikman Lè yo Detekte Risk
Si yo detekte risk, yo anile fizyon an. Pwoteksyon sa a pwoteje chak branch pwojè GitHub epi li aplike pi bon pratik sou kijan pou fizyone branch nan GitHub.
Xygeni entegre dirèkteman nan koòdone itilizatè GitHub la. Lè yo jwenn yon risk:
- GitHub montre verifikasyon an kòm echwe.
- Pwoteksyon GitHub yo anpeche fizyon an
- Liy fizyon an sote kòd ki pa an sekirite.
Kit se yon sekrè, yon CVE, oswa yon danje CI/CD modèl la, rezilta a se menm bagay la: la fizyon an anile nan GitHub epi make pou revizyon.
Ou kapab wè rezilta detaye nan Xygeni tou:
- Sitiyasyon sekirite chak branch
- Poukisa yo te bloke yon fizyon
- Istwa eskanè konplè
- Estati balistrad la parèt atravè ikòn vèt (reyisi) oswa wouj (echwe) nan paj pwojè a.
Feedback vizyèl sa a fè li fasil pou devlopè yo ak ekip sekirite yo pran aksyon avèk konfyans. Epi lè ou bezwen yon kontèks pi pwofon, chak pwoblèm gen yon lyen ki mennen nan dokimantasyon ak gravite, etikèt, kote ak gid pou diminye pwoblèm.
Tldr Merge Sèlman Sa Ki An Sekirite
Pou rezime, men kijan pou fè yon fizyon an sekirite apre ou fin kreye yon branch nan GitHub:
- Kreye yon branch nan GitHub atravè koòdone itilizatè a
- Deklanche eskanè otomatik ak chak pull request avèk Xygeni
- Bloke fizyon ki pa an sekirite yo lè l sèvi avèk Guardrails
- Sèvi ak règleman odit bò sèvè a pou yon kontwòl pi pwofon
- Anile fizyon nan GitHub lè yon bagay echwe
- Vizyalize tout rezilta yo nan Xygeni a dashboard
Pou plis pi bon pratik sou pwoteksyon depo, li atik nou an Kesyon yo poze souvan sou sekirite GitHub: Sa chak devlopè ta dwe konnen.
Malgre ke fizyon se yon operasyon debaz, fè li an sekirite mande yon vizibilite ak yon automatisation reyèl. Avèk Xygeni, ou pa sèlman fizyone kòd, ou fizyone konfyans.
Pwoteje chak branch GitHub avèk konfyans
Yon sèl pwoblèm neglije nan yon pull request ka konpwomèt branch prensipal ou a. Eskanè tradisyonèl yo souvan fonksyone twò ta, rate risk kritik, oswa pa rive aplike règleman ki enpòtan.
Se poutèt sa pwoteje branch GitHub ou yo mande plis pase jis eskane.
Xygeni bay yon aplikasyon reyèl. Lè yon pull request vize yon branch pwoteje, Xygeni analize dènye ekzekisyon ou an CI/CD workflow. Li pa re-eskane tout branch lan. Okontrè, li evalye rezilta ki pi resan yo pou tcheke pwoblèm sekirite nan kòd, depandans, sekrè, ak konfigirasyon workflow. Ou pa sèlman resevwa yon avètisman. Ou pwoteje.
Sa ki fè l diferan:
- Validasyon kontèks konplè: Guardrails Aplike règleman yo lè l sèvi avèk yon kontèks rich tankou gravite, eksplwatasyon, ak metadone branch yo.
- Entegrasyon GitHub entegre: Tout bagay, depi eskanè rive nan aplikasyon lalwa, fonksyone natif natalman nan workflows GitHub ou yo, san ou pa bezwen script koutim oswa kòd kole.
- Odit bò sèvè a: Sèvè-bò Guardrails valide rezilta yo apre telechajman an, ajoute yon dezyèm kouch kontwòl deyò a pipeline.
Olye pou w konte sou konfigirasyon CI ou a pou trape tout bagay, Xygeni aplike yon sistèm dezenfektan otomatik ki baze sou règleman.cisiyon anvan anyen rive nan branch prensipal ou a.
Malgre ke fizyon se yon operasyon debaz, fè li an sekirite mande yon vizibilite ak yon automatisation reyèl. Avèk Xygeni, ou pa sèlman pwoteje depo ou yo, ou pwoteje chak branch GitHub avèk konfyans.




