GitHub Advanced Security Practice Test
### Czym jest CodeQL?
> https://codeql.github.com/
1. [x] Narzędzie do analizy kodu
1. [ ] Język programowania
1. [ ] Edytor tekstu
1. [ ] System kontroli wersji
### Co oznacza termin `shifting left` w kontekście bezpieczeństwa?
> https://github.com/readme/guides/github-advanced-security-telus
1. [x] Wdrażanie praktyk bezpieczeństwa na wczesnym etapie cyklu rozwoju
1. [ ] Pisanie kodu w języku, który jest powszechnie używany
1. [ ] Włączanie praktyk bezpieczeństwa tuż przed uruchomieniem produkcji
1. [ ] Pisanie kodu bez zwracania uwagi na bezpieczeństwo
### Czym są Porady Bezpieczeństwa Repozytorium?
> https://docs.github.com/en/code-security/security-advisories/working-with-repository-security-advisories/about-repository-security-advisories
1. [x] Prywatne miejsce, gdzie utrzymujący repozytorium mogą omówić podatności i problemy związane z bezpieczeństwem w kodzie.
1. [ ] Eksperci ds. bezpieczeństwa GitHub, którzy pomagają użytkownikom GitHub Enterprise w ich problemach z bezpieczeństwem.
1. [ ] Lista problemów z bezpieczeństwem, dostępna publicznie dla każdego, aby ich unikać.
1. [ ] Miejsce do zbierania i publicznego omawiania problemów związanych z bezpieczeństwem w społeczności open source.
### Które narzędzie pomaga utrzymać zależności repozytorium w aktualności?
> https://docs.github.com/en/code-security/dependabot
1. [x] Dependabot
1. [ ] Security Advisories
1. [ ] CodeQL
1. [ ] GitHub Actions
### Która z poniższych opcji jest kuratorską listą podatności bezpieczeństwa znalezionych w projektach open source?
> https://docs.github.com/en/code-security/security-advisories/working-with-global-security-advisories-from-the-github-advisory-database/about-the-github-advisory-database
1. [x] GitHub Advisory Database
1. [ ] CodeQL
1. [ ] Dependabot
1. [ ] GitHub Security Journal
### Które z tych funkcji bezpieczeństwa GitHub są DOSTĘPNE ZA DARMO zarówno dla publicznych, jak i prywatnych osobistych repozytoriów? (Wybierz cztery.)
> https://docs.github.com/en/code-security/getting-started/github-security-features
- [x] Polityka bezpieczeństwa
- [x] Porady dotyczące bezpieczeństwa
- [x] Alerty i aktualizacje bezpieczeństwa Dependabot
- [x] Aktualizacje wersji Dependabot
- [ ] Skanowanie kodu Dependabot
> Dependabot nie jest narzędziem do skanowania kodu, jest to narzędzie do zarządzania zależnościami
- [ ] Skanowanie sekretów Dependabot
> Dependabot nie jest narzędziem do skanowania sekretów, jest to narzędzie do zarządzania zależnościami
- [ ] Skanowanie sekretów
> Skanowanie sekretów jest dostępne dla repozytoriów publicznych i dla organizacji z licencją GitHub Advanced Security. Nie jest dostępne dla osobistych prywatnych repozytoriów.
- [ ] Skanowanie kodu
> Skanowanie kodu jest dostępne dla repozytoriów publicznych i dla organizacji z licencją GitHub Advanced Security. Nie jest dostępne dla osobistych prywatnych repozytoriów.
### Które z poniższych najlepiej opisuje skanowanie sekretów?
> https://docs.github.com/en/code-security/secret-scanning/about-secret-scanning
1. [x] Skanowanie sekretów przeszukuje Twoje repozytorium w poszukiwaniu sekretów, takich jak klucze prywatne lub tokeny.
1. [ ] Skanowanie sekretów przeszukuje Twoje repozytorium w poszukiwaniu potencjalnych luk w kodzie, które mogłyby ujawnić sekrety, takie jak klucze prywatne lub tokeny.
1. [ ] Skanowanie sekretów to narzędzie do bezpiecznego przechowywania i zarządzania sekretami.
1. [ ] Skanowanie sekretów to hak git, który skanuje Twoje commity w poszukiwaniu sekretów, takich jak klucze prywatne lub tokeny, zanim zostaną wypchnięte na GitHub.
### Które części repozytorium są skanowane przez skanowanie sekretów? (Wybierz dwie.)
> https://docs.github.com/en/code-security/secret-scanning/about-secret-scanning#about-secret-scanning
- [x] Cała historia git na wszystkich gałęziach w repozytorium
- [x] Tytuły, opisy i komentarze w otwartych i zamkniętych historycznych zgłoszeniach issues
- [ ] Sekrety repozytorium GitHub
> https://docs.github.com/en/actions/security-guides/using-secrets-in-github-actions#creating-secrets-for-a-repository
- [ ] Sekrety środowiskowe GitHub
> https://docs.github.com/en/actions/security-guides/using-secrets-in-github-actions#creating-secrets-for-an-environment
- [ ] Cała historia git na wszystkich chronionych gałęziach w repozytorium
### Jaki jest cel programu partnerskiego skanowania tajemnic?
> https://docs.github.com/en/code-security/secret-scanning/secret-scanning-partner-program
1. [x] Dostawcy usług mogą współpracować z GitHub, aby format ich tajemnic był rozpoznawany przez funkcję skanowania tajemnic GitHub.
1. [ ] Program partnerski GitHub pozwala przedsiębiorstwom i organizacjom posiadającym licencję GitHub Advanced Security na korzystanie z funkcji skanowania tajemnic do skanowania ich repozytoriów.
1. [ ] GitHub współpracuje z zewnętrznymi firmami zajmującymi się bezpieczeństwem, aby zapewnić skanowanie tajemnic w repozytoriach GitHub.
1. [ ] Jest to program, w którym zarejestrowani specjaliści ds. bezpieczeństwa mogą w dobrej wierze zgłaszać GitHub wszelkie tajemnice znalezione w repozytoriach GitHub i otrzymywać za to nagrody pieniężne.
### Publiczne repozytoria należące do użytkowników indywidualnych, jak również publiczne repozytoria należące do organizacji, mogą korzystać z bezpłatnego skanowania w poszukiwaniu tajemnic.
> https://docs.github.com/en/code-security/secret-scanning/about-secret-scanning#about-secret-scanning
1. [x] Prawda
1. [ ] Fałsz
### Jak można zapobiec wypychaniu do GitHub commitów zawierających dane uwierzytelniające dostawców chmury?
> https://docs.github.com/en/code-security/secret-scanning/push-protection-for-repositories-and-organizations
1. [x] Włącz regułę ochrony przed wypychaniem (secret scanning push protection rule) dla swojego repozytorium lub organizacji.
1. [ ] Dodaj plik `.gitignore` do swojego repozytorium, aby ignorować pliki zawierające sekretne dane.
1. [ ] Utwórz GitHub Action, który będzie skanował Twoje commity w poszukiwaniu sekretów przed ich wypchnięciem do GitHub.
1. [ ] Włącz regułę ochrony gałęzi (branch protection rule) dla swojego repozytorium.
### Które z poniższych stwierdzeń są prawdziwe w kontekście programu partnerskiego skanowania sekretów GitHub? (Wybierz trzy.)
> https://docs.github.com/en/code-security/secret-scanning/secret-scanning-partner-program
- [x] Jest to program, w którym dostawcy usług mogą dostarczyć GitHub wzorce regex sekrety, które wydają, aby skanowanie sekretów GitHub mogło je rozpoznać.
- [x] Gdy GitHub zidentyfikuje sekret od partnera usługowego, powiadamia dostawcę usług o wycieku sekretu.
- [x] Partner może podjąć działania po otrzymaniu powiadomienia od GitHub o wycieku sekretu, takie jak unieważnienie sekretu i poinformowanie właściciela o skompromitowaniu sekretu.
- [ ] Umożliwia partnerowi dostęp do API skanowania sekretów GitHub, aby dostawca usług mógł skanować repozytoria GitHub w poszukiwaniu sekretów pasujących do ich formatu.
> GitHub zawsze jest odpowiedzialny za przeprowadzanie skanowania sekretów, a nie partner.
- [ ] GitHub ma możliwość automatycznego unieważniania wyciekłych sekretów i powiadamiania dostawcy usług, że zostały one unieważnione przez GitHub.
> GitHub nie bierze udziału w unieważnianiu wyciekłych sekretów; dostawca usług ma opcję, aby to zrobić.
### Jak wykluczyć określone katalogi lub pliki z skanowania w poszukiwaniu sekretów?
> https://docs.github.com/en/code-security/secret-scanning/configuring-secret-scanning-for-your-repositories#excluding-directories-from-secret-scanning-alerts-for-users
1. [x] Poprzez utworzenie pliku `secret_scanning.yml` i dodanie ścieżek, które nie powinny być skanowane
1. [ ] Nie jest możliwe wykluczenie konkretnych plików i/lub katalogów ze skanowania. Po włączeniu skanowania w poszukiwaniu sekretów dla repozytorium, wszystkie pliki i katalogi będą skanowane.
1. [ ] Dodając te pliki do pliku `.gitignore`
1. [ ] Poprzez utworzenie pliku `dependabot.yml` i dodanie ścieżek, które nie powinny być skanowane
### Do swojego kodu testowego wprowadziłeś kilka fałszywych sekretów, które zostały wykryte przez funkcję skanowania sekretów GitHub. Co możesz zrobić, aby poinformować GitHub, że są to fałszywe sekrety używane w testach i można je pominąć w skanowaniu? (Wybierz dwie odpowiedzi.)
> https://docs.github.com/en/code-security/secret-scanning/using-advanced-secret-scanning-and-push-protection-features/excluding-folders-and-files-from-secret-scanning
- [x] Poprzez utworzenie pliku `secret_scanning.yml`, w którym zadeklarujesz ścieżki, gdzie znajdują się fałszywe sekrety, dzięki czemu skanowania będą je pomijać
- [x] Zamknij alert związany ze skanowaniem sekretów z powodem zamknięcia `Used in tests`
- [ ] W swoich testowych plikach dodaj komentarz `#gh_ignore: fake secret` w wierszu, w którym znajduje się fałszywy sekret.
- [ ] Poprzez utworzenie pliku `.github/codeql.yml`, w którym zadeklarujesz ścieżki, gdzie znajdują się fałszywe sekrety, dzięki czemu skanowania będą je pomijać
### Przez przypadek umieściłeś swój osobisty token dostępu do GitHub w publicznym repozytorium. Jakie działania należy podjąć, aby zapobiec przejęciu Twojego konta?
> https://docs.github.com/en/code-security/secret-scanning/managing-alerts-from-secret-scanning#securing-compromised-secrets
1. [x] Uznaj token za skompromitowany i natychmiast go usuń
1. [ ] Zmień uprawnienia tokena na tylko do odczytu
1. [ ] Nadpisz historię git, aby ukryć token
1. [ ] Sprawdź, czy token jest używany w którejś z Twoich aplikacji, jeśli tak - usuń go.
### Jakie jest zachowanie, gdy nowy wzorzec tajemnicy zostanie dodany lub zaktualizowany w programie partnerskim skanowania tajemnic GitHub?
> https://docs.github.com/en/code-security/secret-scanning/about-secret-scanning#accessing-secret-scanning-alerts
1. [x] GitHub przeprowadzi skanowanie całej historycznej zawartości kodu w publicznych repozytoriach, w których włączono skanowanie tajemnic
1. [ ] GitHub będzie skanować nowy wzorzec tylko w nowo wciśniętych commitach w repozytoriach z włączonym skanowaniem tajemnic. Jeśli tajemnica tego wzorca była już obecna w repozytorium, nie zostanie wykryta.
1. [ ] Partner GitHub musi poradzić sobie z historycznie wyciekłymi tajemnicami, a GitHub będzie skanować tylko nowe commity pod kątem nowego wzorca.
1. [ ] GitHub utworzy zgłoszenie we wszystkich repozytoriach z włączonym skanowaniem tajemnic, aby utrzymujący mogli sprawdzić repozytorium pod kątem tajemnic dopasowanych do nowego wzorca.
### Kto zostanie powiadomiony, gdy NOWY sekret zostanie wgrany i wykryty w repozytorium? (Wybierz pięć.)
> https://docs.github.com/en/code-security/secret-scanning/managing-alerts-from-secret-scanning/monitoring-alerts#incremental-scans
- [x] Administratorzy repozytorium
- [x] Menedżerowie ds. bezpieczeństwa
- [x] Użytkownicy z niestandardowymi rolami z dostępem do odczytu/zapisu
- [x] Właściciele organizacji i właściciele przedsiębiorstwa, ale tylko jeśli są administratorami repozytoriów, w których doszło do wycieku sekretów
- [x] Autorzy commitów
- [ ] Wszyscy z dostępem zapisu do repozytorium
- [ ] Wszyscy właściciele organizacji i właściciele przedsiębiorstwa
### Kiedy GitHub przeprowadza skanowanie całego historycznego kodu w repozytoriach przedsiębiorstwa, jakie jest zachowanie powiadomień? (Wybierz dwie.)
> https://docs.github.com/en/code-security/secret-scanning/managing-alerts-from-secret-scanning/monitoring-alerts#historical-scans
- [x] GitHub powiadamia właścicieli przedsiębiorstwa i menedżerów ds. bezpieczeństwa, nawet jeśli nie zostaną znalezione żadne sekrety.
- [x] GitHub powiadamia administratorów repozytorium, menedżerów ds. bezpieczeństwa oraz użytkowników z niestandardowymi rolami z dostępem do odczytu/zapisu, gdy tylko sekret zostanie wykryty w repozytorium.
- [ ] GitHub powiadamia właścicieli przedsiębiorstwa i menedżerów ds. bezpieczeństwa, tylko jeśli wykryje ujawnione sekrety.
- [ ] GitHub powiadamia autorów commitów zawierających ujawnione sekrety.
### Czy GitHub używa tego samego zestawu wzorców skanowania sekretów zarówno dla alertów użytkownika, jak i alertów ochrony przy pushu?
> https://docs.github.com/en/code-security/secret-scanning/secret-scanning-patterns#about-secret-scanning-patterns
1. [x] Nie, to są różne zestawy wzorców sekretów
1. [ ] Tak, to ten sam zestaw wzorców sekretów
> Istnieją trzy różne zestawy wzorców skanowania sekretów. Nakładają się na siebie, ale nie są takie same.
### Jakie są trzy różne zestawy wzorców skanowania tajnych danych, które utrzymuje GitHub? (Wybierz trzy.)
> https://docs.github.com/en/code-security/secret-scanning/secret-scanning-patterns#about-secret-scanning-patterns
- [x] Wzorce partnerów
- [x] Wzorce powiadomień użytkownika
- [x] Wzorce ochrony przy push
- [ ] Wzorce powiadomień dla przedsiębiorstw
- [ ] Wzorce powiadomień open source
- [ ] Wzorce dostawców chmury
### W wielu publicznych repozytoriach, do których wnosisz wkład, opcja ochrony skanowania tajemnic przy pushu nie jest włączona. Co możesz zrobić, aby chronić się przed przypadkowym wysłaniem tajemnic do tych repozytoriów?
> https://docs.github.com/en/code-security/secret-scanning/push-protection-for-users#about-push-protection-for-users
1. [x] Włączyć `Push protection for yourself` w swoich ustawieniach konta GitHub
1. [ ] Pobierz wtyczkę internetową ochrony przy pushu GitHub
1. [ ] To niemożliwe, ochrona przy pushu musi być włączona na poziomie repozytorium, organizacji lub przedsiębiorstwa
1. [ ] Dodaj pliki zawierające tajemnice do pliku `.gitignore` we wszystkich repozytoriach
### Twoja firma posiada wewnętrzne sekrety, które nie powinny być wysyłane do repozytoriów GitHub. Wzorzec tych sekretów nie jest rozpoznawany przez GitHub i dlatego nie jest wykrywany przez skanowanie sekretów. Co firmy mogą zrobić, aby chronić swoich programistów przed przypadkowym wysłaniem tych sekretów do repozytoriów w ich organizacji GitHub?
> https://docs.github.com/en/enterprise-cloud@latest/code-security/secret-scanning/defining-custom-patterns-for-secret-scanning#defining-a-custom-pattern-for-an-organization
1. [x] Zdefiniuj wyrażenia regex dla tych sekretów i włącz niestandardowe wzorce dla skanowania sekretów w organizacji.
1. [ ] Firma powinna przystąpić do programu partnerskiego GitHub, aby wzorzec sekretów firmy był rozpoznawany.
> Program partnerski GitHub jest przeznaczony dla dostawców usług, które dystrybuują sekrety poza swoją organizację (np. dostawcy chmury). Nie jest przeznaczony dla wewnętrznych sekretów pojedynczej organizacji.
1. [ ] Zdefiniuj niestandardowe przepływy pracy GitHub Actions dla repozytoriów w organizacji, które będą skanować te sekrety.
1. [ ] W wszystkich repozytoriach umieść plik `secret_scanning.yml`, który zdefiniuje te niestandardowe sekrety, które powinny być skanowane.
> Plik `secret_scanning.yml` może być używany do wyłączania skanowania sekretów dla konkretnych plików lub katalogów.
### Jakie informacje dostarczają alerty Dependabot?
> https://docs.github.com/en/code-security/dependabot/dependabot-alerts/about-dependabot-alerts
1. [x] Alerty Dependabot informują, że Twoje repozytorium używa pakietu, który jest niebezpieczny.
1. [ ] Alerty Dependabot informują, że Twoje repozytorium jest używane przez inne publiczne repozytoria.
1. [ ] Alerty Dependabot informują, że Twoje repozytorium używa nietestowanej wersji pakietu.
1. [ ] Alerty Dependabot informują, że Twoje repozytorium używa nieaktualnej wersji pakietu.
> Dependabot zajmuje się tym w odniesieniu do aktualizacji wersji, ale nie poprzez alerty.
### Czym jest wykres zależności GitHub?
> https://docs.github.com/en/code-security/supply-chain-security/understanding-your-software-supply-chain/about-the-dependency-graph
1. [x] Jest to reprezentacja zależności i zależności w repozytorium.
1. [ ] Nie istnieje coś takiego jak wykres zależności GitHub.
1. [ ] Jest to narzędzie, które automatycznie proponuje aktualizacje wersji zależności w repozytorium.
1. [ ] Jest to utrzymywana przez GitHub lista znanych luk w zabezpieczeniach pakietów oprogramowania open source.
### Czy graf zależności GitHub jest dostępny za darmo dla wszystkich repozytoriów?
> https://docs.github.com/en/code-security/supply-chain-security/understanding-your-software-supply-chain/about-the-dependency-graph#dependency-graph-availability
1. [x] Tak, jest dostępny za darmo dla wszystkich repozytoriów.
1. [ ] Nie, jest dostępny za darmo tylko dla publicznych repozytoriów. Prywatne repozytoria mogą go używać, jeśli mają licencję GitHub Advanced Security.
### W jaki sposób Dependency graph GitHub rozpoznaje, jakich zależności używa Twój projekt? (Wybierz dwa.)
> https://docs.github.com/en/code-security/supply-chain-security/understanding-your-software-supply-chain/about-the-dependency-graph#supported-package-ecosystems
- [x] GitHub automatycznie pozyskuje informacje o zależnościach z plików manifestów i plików lock, które są zapisane w repozytorium
- [x] Zależności można dodawać ręcznie za pomocą Dependency submission API
- [ ] GitHub skanuje kod repozytorium w poszukiwaniu instrukcji importu zewnętrznych pakietów
- [ ] Wymagane jest dodanie workflow GitHub Actions, który wykorzystuje oficjalny `actions/dependency-graph` GitHub Action, aby dodawać zależności do wykresu przy każdym nowym commicie do repozytorium
### Kiedy zostanie zaktualizowany wykres zależności GitHub dla Twojego repozytorium? (Wybierz dwie odpowiedzi.)
> https://docs.github.com/en/code-security/supply-chain-security/understanding-your-software-supply-chain/about-supply-chain-security#what-is-the-dependency-graph
- [x] Gdy ktoś wypchnie zmianę do repozytorium jednej z Twoich zależności.
- [x] Gdy wypchniesz commit do domyślnej gałęzi repozytorium, tylko jeśli zmienia lub dodaje on obsługiwany manifest/lockfile.
- [ ] Gdy wypchniesz dowolny commit do domyślnej gałęzi repozytorium.
- [ ] Gdy Twoje repozytorium opublikuje nowe wydanie.
- [ ] Gdy Twoje repozytorium opublikuje nowy tag git.
- [ ] Gdy zostanie uruchomiony workflow GitHub Actions wykorzystujący akcję `actions/dependency-graph`.
### W jakim formacie można wyeksportować wykres zależności GitHub swojego repozytorium?
> https://docs.github.com/en/code-security/supply-chain-security/understanding-your-software-supply-chain/exporting-a-software-bill-of-materials-for-your-repository
1. [x] SPDX
1. [ ] YAML
1. [ ] JSON
1. [ ] XML
1. [ ] CSV
### Czy Twoje repozytorium może używać Grafu Zależności bez korzystania z Alertów Dependabot?
> https://docs.github.com/en/code-security/supply-chain-security/understanding-your-software-supply-chain/about-the-dependency-graph#using-the-dependency-graph
1. [x] Tak
1. [ ] Nie
> Możesz używać Grafu Zależności bez korzystania z Alertów Dependabot. Jednak nie możesz korzystać z Alertów Dependabot, jeśli Graf Zależności jest wyłączony.
### Która funkcja jest wymagana, aby korzystać z alertów Dependabot w repozytorium?
> https://docs.github.com/en/code-security/supply-chain-security/understanding-your-software-supply-chain/about-the-dependency-graph#using-the-dependency-graph
1. [x] Wykres zależności (Dependency graph)
1. [ ] Przegląd zależności (Dependency review)
1. [ ] Aktualizacje bezpieczeństwa zależności (Dependency security updates)
1. [ ] Aktualizacje wersji zależności (Dependency version updates)
### Które z tych stwierdzeń dotyczących Alertów Dependabot są prawdziwe? (Wybierz trzy.)
> https://docs.github.com/en/code-security/dependabot/dependabot-alerts/about-dependabot-alerts
- [x] Częściowo polegają na bazie danych GitHub Advisory Database
- [x] Aby włączyć Alerty Dependabot, najpierw musisz włączyć Dependency Graph w swoim repozytorium
- [x] Gdy GitHub wykryje podatną zależność, generuje alert Dependabot i wyświetla go na karcie Bezpieczeństwo w repozytorium
- [ ] Alerty Dependabot są domyślnie włączone dla wszystkich repozytoriów
- [ ] Alerty Dependabot są domyślnie włączone dla wszystkich publicznych repozytoriów
- [ ] Alerty Dependabot informują, że Twoje repozytorium używa nieaktualnej wersji pakietu
### Jakie są główne korzyści funkcji Security Overview w GitHub?
> https://docs.github.com/en/code-security/security-overview/about-security-overview
1. [x] Scentralizowany widok alertów bezpieczeństwa i zarządzania polityką w organizacji
1. [ ] Automatyczny przegląd kodu dla każdego pushu
1. [ ] Wykrywanie zagrożeń w czasie rzeczywistym
1. [ ] Zautomatyzowane aktualizacje zależności
### Czym jest CodeQL?
> https://docs.github.com/en/code-security/code-scanning/introduction-to-code-scanning/about-code-scanning-with-codeql#about-code-scanning-with-codeql
1. [x] Silnik analizy kodu opracowany przez GitHub
1. [ ] Nowy język programowania do analizy bezpieczeństwa
1. [ ] Baza danych używana do przechowywania wyników analizy kodu
1. [ ] Narzędzie zewnętrzne do statycznej analizy kodu
### Co wskazują alerty Dependabot w GitHub?
> https://docs.github.com/en/code-security/dependabot/dependabot-alerts/about-dependabot-alerts#about-dependabot-alerts
1. [x] Obecność podatnej zależności lub złośliwego oprogramowania w Twoim repozytorium
1. [ ] Nieaktualne zależności, które należy zaktualizować
1. [ ] Błędy w plikach konfiguracyjnych zależności
1. [ ] Konflikty między różnymi zależnościami
### Jaki jest cel skanowania kodu w GitHub?
> https://docs.github.com/en/code-security/code-scanning/introduction-to-code-scanning/about-code-scanning#about-code-scanning
1. [x] Identyfikowanie podatności i błędów w kodzie
1. [ ] Sprawdzanie formatowania i stylu kodu
1. [ ] Automatyczne przeglądanie pull requestów
1. [ ] Synchronizowanie kodu z serwerami produkcyjnymi
### Czy skanowanie sekretów jest dostępne zarówno dla publicznych, jak i prywatnych repozytoriów na GitHubie?
> https://docs.github.com/en/code-security/secret-scanning/about-secret-scanning#about-secret-scanning
1. [x] Tak, ale w przypadku prywatnych repozytoriów wymaga licencji na GitHub Advanced Security
1. [ ] Tak, bez dodatkowych wymagań
1. [ ] Nie, jest dostępne tylko dla publicznych repozytoriów
1. [ ] Nie, jest dostępne tylko dla prywatnych repozytoriów
### Co robi domyślna konfiguracja analizy CodeQL w GitHubie?
> https://docs.github.com/en/code-security/code-scanning/introduction-to-code-scanning/about-code-scanning-with-codeql#about-code-scanning-with-codeql
1. [x] Automatycznie wybiera języki do analizy, zestaw zapytań do uruchomienia oraz zdarzenia wyzwalające skany
1. [ ] Wymaga ręcznego określenia języków i zapytań dla każdego skanu
1. [ ] Skanuje kod tylko raz w miesiącu
1. [ ] Wymaga oddzielnej instalacji zewnętrznych narzędzi skanujących
### Jaki jest główny cel używania CodeQL CLI?
> https://docs.github.com/en/code-security/codeql-cli/getting-started-with-the-codeql-cli/about-the-codeql-cli#about-the-codeql-cli
1. [x] Generowanie reprezentacji bazy danych kodu źródłowego, bazy danych CodeQL
1. [ ] Zarządzanie ustawieniami i uprawnieniami repozytorium
1. [ ] Planowanie regularnych zadań konserwacyjnych w repozytorium
1. [ ] Automatyczne scalanie pull requestów
### Który z poniższych języków NIE jest obsługiwany przez CodeQL do skanowania kodu?
> https://codeql.github.com/docs/codeql-overview/supported-languages-and-frameworks/#languages-and-compilers
1. [x] PHP
1. [ ] JavaScript/TypeScript
1. [ ] C/C++
1. [ ] Python
### Jak CodeQL analizuje kod w GitHub?
> https://docs.github.com/en/code-security/code-scanning/introduction-to-code-scanning/about-code-scanning-with-codeql#about-codeql
1. [x] Generuje bazę danych CodeQL i uruchamia zapytania, aby zidentyfikować problemy, wyświetlając wyniki jako alerty skanowania kodu
1. [ ] Wykorzystuje uczenie maszynowe do przewidywania potencjalnych luk bezpieczeństwa na podstawie wcześniejszych commitów
1. [ ] Przeprowadza ręczne przeglądy kodu przesłane przez członków społeczności GitHub
1. [ ] Polega wyłącznie na narzędziach firm trzecich do analizy kodu
### Jak można używać CodeQL w zewnętrznym systemie CI wraz z repozytoriami GitHub?
> https://docs.github.com/en/code-security/code-scanning/integrating-with-code-scanning/using-code-scanning-with-your-existing-ci-system#about-using-code-scanning-with-your-existing-ci-system
1. [x] Uruchom CodeQL CLI w zewnętrznym systemie CI, aby skanować kod i przesyłać wyniki do repozytorium GitHub
1. [ ] CodeQL nie może być używany w zewnętrznych systemach CI; jest zarezerwowany wyłącznie dla GitHub Actions
1. [ ] Prześlij kod źródłowy do GitHuba w celu analizy, a następnie pobierz wyniki do wykorzystania w systemie CI
1. [ ] Uruchom ręcznie CodeQL lokalnie i wyślij wyniki e-mailem do administratorów repozytorium GitHub
### Które z poniższych stwierdzeń na temat skanowania tajemnic na GitHubie nie jest prawdziwe?
> https://docs.github.com/en/code-security/secret-scanning/about-secret-scanning
1. [x] Skanowanie tajemnic to narzędzie do bezpiecznego przechowywania i zarządzania tajemnicami.
1. [ ] Skanowanie tajemnic przeszuka całą historię Git na wszystkich gałęziach obecnych w Twoim repozytorium na GitHubie w poszukiwaniu tajemnic.
1. [ ] Skanowanie tajemnic przeszuka tytuły, opisy i komentarze w otwartych i zamkniętych historycznych zgłoszeniach w poszukiwaniu tajemnic.
1. [ ] Skanowanie tajemnic może zapobiec przesyłaniu obsługiwanych tajemnic do Twojego przedsiębiorstwa, organizacji lub repozytorium.
### Jakie kluczowe klucze najwyższego poziomu są wymagane w pliku `dependabot.yml`?
> https://docs.github.com/en/code-security/dependabot/dependabot-version-updates/configuration-options-for-the-dependabot.yml-file#about-the-dependabotyml-file
1. [x] `version` i `updates`
1. [ ] `version` i `package-ecosystem`
1. [ ] `assignees` i `directory`
1. [ ] `updates` i `directory`
### Która akcja GitHub może być używana do przesyłania pliku SARIF pochodzącego od zewnętrznego dostawcy?
> https://docs.github.com/en/code-security/code-scanning/integrating-with-code-scanning/uploading-a-sarif-file-to-github#uploading-a-code-scanning-analysis-with-github-actions
1. [x] `github/codeql-action/upload-sarif`
1. [ ] `codeql-upload-sarif`
1. [ ] `github/codeql-action`
1. [ ] `actions/upload-sarif`
### Które narzędzie można wykorzystać w zewnętrznym systemie CI do przesyłania wyników analizy kodu na GitHub?
> https://docs.github.com/en/code-security/code-scanning/integrating-with-code-scanning/using-code-scanning-with-your-existing-ci-system#about-using-code-scanning-with-your-existing-ci-system
1. [x] CodeQL CLI
1. [ ] CodeQL API
1. [ ] GitHub Actions `github/codeql-action`
1. [ ] GitHub CLI
### Co jest wymagane, aby serwer CI przesłał wyniki SARIF do GitHub?
> https://docs.github.com/en/code-security/code-scanning/integrating-with-code-scanning/using-code-scanning-with-your-existing-ci-system#generating-a-token-for-authentication-with-github
1. [x] Aplikacja GitHub lub token dostępu osobistego z uprawnieniem do zapisu `security_events`.
1. [ ] Bezpośrednie połączenie z bazą danych porad GitHub.
1. [ ] Dostęp administratora do repozytorium GitHub.
1. [ ] Specjalna wtyczka zainstalowana w systemie CI.
### Co się dzieje, gdy do GitHub zostanie przesłany drugi plik wynikowy SARIF dla jednego commita?
> https://docs.github.com/en/code-security/code-scanning/integrating-with-code-scanning/using-code-scanning-with-your-existing-ci-system#uploading-your-results-to-github
1. [x] Zastępuje oryginalny zestaw danych.
1. [ ] Dołącza wyniki do istniejącego pliku.
1. [ ] Tworzy nową gałąź w repozytorium.
1. [ ] Jest ignorowany przez GitHub.
### Jak użytkownicy mogą wykluczyć określone katalogi z alertów skanowania sekretów na GitHub?
> https://docs.github.com/en/code-security/secret-scanning/configuring-secret-scanning-for-your-repositories#excluding-directories-from-secret-scanning-alerts-for-users
1. [x] Poprzez skonfigurowanie pliku `secret_scanning.yml`, w ścieżce `.github` w repozytorium.
1. [ ] Przez kartę `Security` repozytorium, w menu `Secret scanning`.
1. [ ] Przez kartę `Settings` repozytorium, w menu `Code security and analysis`.
1. [ ] Poprzez edycję pliku `README.md` repozytorium.
### Którego klucza należy użyć w pliku `secret_scanning.yml`, aby wykluczyć katalogi z alertów skanowania tajemnic w GitHub?
> https://docs.github.com/en/code-security/secret-scanning/configuring-secret-scanning-for-your-repositories#excluding-directories-from-secret-scanning-alerts-for-users
1. [x] `paths-ignore:`
1. [ ] `paths-exclude:`
1. [ ] `ignore-directories`
1. [ ] `exclude-paths:`
### Jaka jest maksymalna liczba niestandardowych wzorców, które można zdefiniować dla skanowania sekretów na GitHubie?
> https://docs.github.com/en/enterprise-cloud@latest/code-security/secret-scanning/defining-custom-patterns-for-secret-scanning#about-custom-patterns-for-secret-scanning
1. [x] 500 dla organizacji/przedsiębiorstw i 100 dla repozytoriów.
1. [ ] 100 dla organizacji/przedsiębiorstw i 500 dla repozytoriów.
1. [ ] 100 dla organizacji, przedsiębiorstw i repozytoriów.
1. [ ] Nie ma limitu na liczbę niestandardowych wzorców, które można zdefiniować dla skanowania sekretów na GitHubie.
### Uzupełnij zdanie: `GitHub __________ to funkcja, której można używać do analizowania kodu w repozytorium GitHub, aby znaleźć podatności bezpieczeństwa i błędy w kodzie.`
> https://docs.github.com/en/code-security/code-scanning/introduction-to-code-scanning/about-code-scanning
1. [x] Code Scanning
1. [ ] Dependency Graph
1. [ ] Security Advisories
1. [ ] Vulnerability Detection
### Która funkcja GitHub Advanced Security pozwala znaleźć, ocenić i priorytetyzować poprawki dla nowych i istniejących problemów w Twoim kodzie?
> https://docs.github.com/en/code-security/code-scanning/introduction-to-code-scanning/about-code-scanning
1. [x] Code scanning
1. [ ] Alerty Dependabot
1. [ ] Polityki bezpieczeństwa
1. [ ] Porady dotyczące bezpieczeństwa
### Jak można włączyć skanowanie kodu dla repozytorium?
> https://docs.github.com/en/code-security/code-scanning/enabling-code-scanning/configuring-default-setup-for-code-scanning
1. [x] Przejdź do zakładki bezpieczeństwa (security) w ustawieniach repozytorium i włącz skanowanie kodu z domyślną lub zaawansowaną konfiguracją.
1. [ ] Przejdź do ustawień użytkownika i włącz skanowanie kodu, możesz zdecydować się na włączenie go dla wszystkich lub tylko wybranych repozytoriów.
1. [ ] Dodaj plik `.github/codeql.yml` do repozytorium.
1. [ ] Przejdź do zakładki bezpieczeństwa (security) w ustawieniach repozytorium i wypełnij kwestionariusz dotyczący zawartości repozytorium. Na podstawie odpowiedzi GitHub włączy skanowanie kodu z odpowiednią konfiguracją.
### Jak skonfigurować repozytorium GitHub, aby uruchamiało analizę CodeQL według harmonogramu? (Wybierz dwie odpowiedzi.)
> https://docs.github.com/en/code-security/code-scanning/enabling-code-scanning/configuring-default-setup-for-code-scanning#about-default-setup
- [x] Poprzez utworzenie przepływu pracy GitHub Actions z wyzwalaczem `schedule`. Przepływ pracy powinien korzystać z akcji z repozytorium `github/codeql-action`.
- [x] Poprzez użycie domyślnej konfiguracji analizy CodeQL.
- [ ] Poprzez ustawienie właściwości `codeql.trigger` w ustawieniach repozytorium na `schedule`.
- [ ] Poprzez dodanie właściwości `schedule` do pliku `.github/codeql.yml`.
- [ ] Poprzez złożenie wniosku do wsparcia technicznego GitHub o włączenie zaplanowanej analizy CodeQL dla repozytorium.
### Organizacja niedawno zaczęła używać analizy CodeQL dla wszystkich pull requestów w swoich repozytoriach, a także uruchamia analizę według godzinowego harmonogramu. Od tego czasu doświadczają wyższych niż zwykle rachunków za GitHub Actions. Jaka jest najbardziej prawdopodobna przyczyna tego?
> https://docs.github.com/en/code-security/code-scanning/introduction-to-code-scanning/about-code-scanning#about-billing-for-code-scanning
1. [x] Analiza kodu korzysta z GitHub Actions, a organizacja jest obciążana kosztami za dodatkowe użycie.
1. [ ] Analiza kodu wykrywa więcej problemów niż oczekiwano i zajmuje więcej czasu na zakończenie.
1. [ ] Analiza kodu może być uruchamiana tylko według dziennego harmonogramu, a organizacja jest obciążana kosztami za dodatkowe użycie.
1. [ ] Nie ma związku między analizą kodu a rachunkami za GitHub Actions. Organizacja jest obciążana kosztami za inne przepływy pracy GitHub Actions.
### Jeśli nie chcesz używać GitHub Actions, możesz uruchomić skanowanie kodu w zewnętrznym systemie CI, a następnie przesłać wyniki do GitHub.
> https://docs.github.com/en/code-security/code-scanning/integrating-with-code-scanning/using-code-scanning-with-your-existing-ci-system#about-using-code-scanning-with-your-existing-ci-system
1. [x] Prawda
1. [ ] Fałsz
### Korzystając z zewnętrznego systemu CI do skanowania kodu, jakiego narzędzia GitHub potrzebujesz, aby przeanalizować bazę kodu?
> https://docs.github.com/en/code-security/code-scanning/integrating-with-code-scanning/using-code-scanning-with-your-existing-ci-system#about-using-code-scanning-with-your-existing-ci-system
1. [x] Nie potrzebujesz konkretnego narzędzia GitHub, każde narzędzie do analizy statycznej, które może generować wyniki w formacie SARIF, będzie działać.
1. [ ] Musisz zainstalować narzędzie GitHub Code Scanning.
1. [ ] Musisz zainstalować CodeQL CLI.
1. [ ] Musisz zainstalować GitHub CLI.
### Kiedy używasz GitHub Actions jako systemu CI oraz narzędzia firmy trzeciej do skanowania kodu, jak możesz przesłać wyniki SARIF do GitHub?
> https://docs.github.com/en/code-security/code-scanning/integrating-with-code-scanning/uploading-a-sarif-file-to-github#uploading-a-code-scanning-analysis-with-github-actions
1. [x] Używając akcji `github/codeql-action/upload-sarif` GitHub Action
1. [ ] Kiedy używasz GitHub Actions, wyniki SARIF są automatycznie przesyłane do GitHub.
1. [ ] Możesz używać tylko CodeQL podczas skanowania kodu w GitHub Actions. Narzędzia do skanowania kodu firm trzecich nie są obsługiwane.
1. [ ] Używając akcji `actions/upload-artifact` GitHub Action
### Czy można używać analizy CodeQL z zewnętrznymi systemami CI?
> https://docs.github.com/en/code-security/code-scanning/integrating-with-code-scanning/using-code-scanning-with-your-existing-ci-system
1. [x] Tak, wystarczy użyć CodeQL CLI
1. [ ] Nie, ponieważ wymaga to użycia akcji GitHub `github/codeql-action`
### Które z poniższych stwierdzeń dotyczących skanowania kodu są prawdziwe? (Wybierz dwa.)
> https://docs.github.com/en/code-security/supply-chain-security/end-to-end-supply-chain/securing-code#scan-your-code-for-vulnerable-patterns
- [x] Skanowanie kodu pomaga znaleźć niebezpieczne wzorce kodu, które mogą zostać pominięte podczas ręcznego przeglądu kodu.
- [x] Skanowanie kodu można zintegrować z pipeline'em CI, aby wykrywać problemy z bezpieczeństwem na wczesnym etapie procesu tworzenia oprogramowania.
- [ ] Skanowanie kodu zastępuje ręczny przegląd kodu.
- [ ] Skanowanie kodu pomaga wykryć ujawnione dane uwierzytelniające w kodzie, takie jak klucze API lub dane uwierzytelniające do chmury.
> To dotyczy secret scanning
- [ ] Skanowanie kodu analizuje Twój kod w celu wyszukania wszystkich zależności i ich wersji w celu wykrycia podatnych na zagrożenia zależności.
### Podczas używania analizy CodeQL w swoim przepływie pracy GitHub Actions, jak często jest uruchamiane skanowanie?
> https://docs.github.com/en/code-security/code-scanning/introduction-to-code-scanning/about-code-scanning#about-code-scanning
1. [x] Skanowanie kodu może być uruchamiane dla wielu różnych zdarzeń, które mają miejsce w repozytorium.
1. [ ] Skanowanie kodu jest uruchamiane przy każdym wysłaniu zmian do repozytorium.
1. [ ] Skanowanie kodu jest uruchamiane według konfigurowalnego harmonogramu.
1. [ ] Skanowanie kodu może być uruchamiane według konfigurowalnego harmonogramu lub na pull requestach.
### Jaki jest efekt dodania słowa kluczowego `paths-ignore` do przepływu pracy GitHub Actions do skanowania kodu?
```yaml
.github/workflows/codeql-analysis.yml
on:
pull_request:
branches: [main]
paths-ignore:
- '**/*.md'
- '**/*.txt'
```
> https://docs.github.com/en/code-security/code-scanning/creating-an-advanced-setup-for-code-scanning/customizing-your-advanced-setup-for-code-scanning#avoiding-unnecessary-scans-of-pull-requests
1. [x] Unikanie niepotrzebnych skanowań w przypadku wprowadzania zmian w plikach nieistotnych dla analizy.
1. [ ] Informuje CodeQL, aby pominąć wszystkie pliki `*.txt` i `*.md` w analizie.
1. [ ] Zapobieganie wykonaniu analizy CodeQL na żądaniach ściągnięcia, które wprowadzają zmiany w plikach o określonych rozszerzeniach.
1. [ ] Kontrole żądań ściągnięcia będą ignorować wszelkie podatności CodeQL znalezione w plikach `*.txt` i `*.md`.
### Skanowanie CodeQL obsługuje:
> https://docs.github.com/en/code-security/code-scanning/introduction-to-code-scanning/about-code-scanning-with-codeql#about-codeql
1. [x] Zarówno języki kompilowane, jak i interpretowane
1. [ ] Tylko języki kompilowane
1. [ ] Tylko języki interpretowane
1. [ ] Wszystkie języki programowania
### Do czego służą zapytania CodeQL?
> https://codeql.github.com/docs/writing-codeql-queries/about-codeql-queries/
1. [x] Zapytania CodeQL można uruchamiać w bazie danych CodeQL, aby identyfikować wzorce mogące wskazywać na błędy w kodzie lub luki w zabezpieczeniach.
1. [ ] Zapytania CodeQL analizują bazę kodu i są używane do tworzenia bazy danych CodeQL.
1. [ ] Zapytania CodeQL są wykorzystywane do celów przeglądu kodu w GitHub.
1. [ ] Zapytania CodeQL to pytania tekstowe, które można zadać silnikowi CodeQL na temat bazy kodu.
### Czym jest QL?
> https://codeql.github.com/docs/ql-language-reference/about-the-ql-language/
1. [x] QL to język zapytań, który stanowi podstawę CodeQL
1. [ ] QL oznacza Poziom Jakości i jest metryką używaną przez CodeQL
1. [ ] QL to produkt podobny do CodeQL, ale służy do skanowania plików tekstowych zamiast kodu
1. [ ] QL to pakiet npm używany przez CodeQL do skanowania kodu
### Czym jest zestaw zapytań CodeQL?
> https://docs.github.com/en/code-security/code-scanning/managing-your-code-scanning-configuration/codeql-query-suites#about-codeql-query-suites
1. [x] Zestaw CodeQL to kolekcja zapytań CodeQL
1. [ ] Zestaw CodeQL to kolekcja baz danych CodeQL
1. [ ] Zestaw CodeQL to kolekcja wyników CodeQL
1. [ ] Zestaw CodeQL to kolekcja obsługiwanych języków CodeQL
### Jakie są różne rodzaje pakietów CodeQL? (Wybierz trzy.)
> https://docs.github.com/en/code-security/codeql-cli/getting-started-with-the-codeql-cli/customizing-analysis-with-codeql-packs#about-codeql-packs
- [x] Pakiety zapytań
- [x] Pakiety bibliotek
- [x] Pakiety modeli
- [ ] Pakiety kodu
- [ ] Pakiety językowe
- [ ] Pakiety podatności
### Czym jest pakiet zapytań CodeQL?
> https://docs.github.com/en/code-security/codeql-cli/getting-started-with-the-codeql-cli/customizing-analysis-with-codeql-packs#about-codeql-packs
1. [x] To zestaw wstępnie skompilowanych zapytań wraz ze wszystkimi zależnościami przejściowymi, takimi jak biblioteki i modele
1. [ ] To biblioteka używana przez zapytania CodeQL
1. [ ] To zbiór zapytań CodeQL
> To jest zestaw zapytań CodeQL
1. [ ] To zestaw wyników wygenerowanych w procesie analizy bazy danych CodeQL
### Jakie są kroki w przepływie pracy analizy CodeQL?
> https://codeql.github.com/docs/codeql-overview/about-codeql/#codeql-analysis
1. [x] Tworzenie bazy danych CodeQL -> Uruchamianie zapytań CodeQL -> Interpretacja wyników
1. [ ] Uruchamianie zapytań CodeQL -> Tworzenie bazy danych CodeQL -> Interpretacja wyników
1. [ ] Uruchamianie zapytań CodeQL -> Interpretacja wyników
1. [ ] Tworzenie bazy danych CodeQL -> Interpretacja wyników -> Uruchamianie zapytań CodeQL
### Czym jest ekstrakcja w kontekście analizy kodu przy użyciu CodeQL?
> https://codeql.github.com/docs/codeql-overview/about-codeql/#database-creation
1. [x] Ekstrakcja to proces tworzenia relacyjnej reprezentacji każdego pliku źródłowego w bazie kodu.
1. [ ] Ekstrakcja to działanie polegające na uruchamianiu zapytań CodeQL w bazie danych CodeQL i wyciąganiu wyników.
1. [ ] Ekstrakcja to proces tworzenia zapytań CodeQL specyficznych dla bazy kodu.
1. [ ] Ekstrakcja to proces eksportu danych z bazy danych CodeQL.
### Które z poniższych stwierdzeń są prawdziwe w odniesieniu do analizy CodeQL na bazach kodu zawierających wiele języków programowania? (Wybierz dwa.)
> https://codeql.github.com/docs/codeql-overview/about-codeql/#database-creation
- [x] CodeQL używa innego ekstraktora dla każdego języka programowania
- [x] CodeQL tworzy oddzielne bazy danych dla każdego języka programowania
- [ ] CodeQL tworzy jedną bazę danych dla wszystkich języków programowania w bazie kodu, pod warunkiem, że są one obsługiwane przez CodeQL
- [ ] Schemat bazy danych CodeQL jest taki sam dla każdego języka programowania
### Jakie są różnice w tworzeniu bazy danych CodeQL dla języków kompilowanych i interpretowanych? (Wybierz dwie.)
> https://codeql.github.com/docs/codeql-overview/about-codeql/#database-creation
- [x] Dla języków kompilowanych, ekstrakcja działa poprzez monitorowanie procesu budowania. Wszystkie informacje są zbierane za każdym razem, gdy kompilator jest wywoływany do przetwarzania pliku źródłowego.
- [x] Dla języków interpretowanych, ekstraktor działa bezpośrednio na kodzie źródłowym.
- [ ] Dla języków interpretowanych, ekstrakcja działa poprzez monitorowanie procesu budowania. Wszystkie informacje są zbierane za każdym razem, gdy interpreter jest wywoływany do przetwarzania pliku źródłowego.
- [ ] Dla języków kompilowanych, ekstraktor działa bezpośrednio na kodzie źródłowym.
- [ ] Dla języków kompilowanych, ekstraktor działa na pliku wykonywalnym.
- [ ] Dla języków interpretowanych, ekstraktor działa na pliku wykonywalnym.
### Gdzie możesz zobaczyć, kiedy ostatnia analiza CodeQL została przeprowadzona przy użyciu domyślnej konfiguracji skanowania kodu?
> https://docs.github.com/en/code-security/code-scanning/enabling-code-scanning/evaluating-default-setup-for-code-scanning#evaluating-code-scanning-with-the-tool-status-page
1. [x] Na stronie statusu narzędzia do skanowania kodu
1. [ ] W statystykach repozytorium
1. [ ] W zakładce Dependabot
1. [ ] Nie możesz zobaczyć tych informacji przy domyślnej konfiguracji
### Które z poniższych stwierdzeń dotyczących włączania domyślnej konfiguracji skanowania CodeQL są prawdziwe? (Wybierz trzy.)
> https://docs.github.com/en/code-security/code-scanning/enabling-code-scanning/configuring-default-setup-for-code-scanning
- [x] Możesz włączyć domyślną konfigurację dla wszystkich kwalifikujących się repozytoriów w organizacji naraz w ustawieniach organizacji
- [x] GitHub Actions musi być włączony jako warunek wstępny
- [x] Możesz włączyć domyślną konfigurację w dowolnym repozytorium, niezależnie od jego zawartości
- [ ] Możesz włączyć domyślną konfigurację tylko w repozytoriach, które zawierają co najmniej jeden język obsługiwany przez CodeQL
> Jeśli włączysz domyślną konfigurację w repozytorium, które nie zawiera żadnego języka obsługiwanego przez CodeQL, domyślna konfiguracja nie wykona żadnych skanowań
- [ ] Domyślna konfiguracja będzie skanować repozytorium zgodnie z harmonogramem, który możesz skonfigurować. Dla skanowania zdarzeniowego musisz skonfigurować przepływ pracy GitHub Action
> Domyślna konfiguracja obejmuje skanowanie harmonogramowe oraz skanowanie pull requestów/push na domyślnych i chronionych gałęziach
- [ ] Możesz korzystać tylko z domyślnego zestawu zapytań z domyślną konfiguracją skanowania CodeQL
### Jak dostosować zaawansowane skanowanie CodeQL za pomocą dodatkowych zestawów zapytań CodeQL? (Wybierz dwie odpowiedzi.)
> https://docs.github.com/en/code-security/code-scanning/creating-an-advanced-setup-for-code-scanning/customizing-your-advanced-setup-for-code-scanning
- [x] Używając niestandardowego pliku konfiguracyjnego i definiując w nim dodatkowe zapytania
- [x] Definiując niestandardowe ustawienia w pliku workflow analizy CodeQL GitHub Actions jako parametry wejściowe dla akcji `github/codeql-action/init`
- [ ] Używając CodeQL CLI z niestandardowym plikiem konfiguracyjnym do uruchomienia analizy
- [ ] Definiując niestandardowe ustawienia w ustawieniach repozytorium w sekcji Security / Code scanning
- [ ] Używając akcji `github/codeql-customizations` GitHub Action
### Podczas uruchamiania analizy CodeQL w GitHub Actions, jakie Actions powinieneś użyć? (Wybierz trzy.)
> https://docs.github.com/en/code-security/code-scanning/creating-an-advanced-setup-for-code-scanning/codeql-code-scanning-for-compiled-languages#about-the-codeql-analysis-workflow-and-compiled-languages
- [x] `github/codeql-action/init`
- [x] `github/codeql-action/analyze`
- [x] `github/codeql-action/autobuild` tylko dla skompilowanych języków programowania
- [ ] `github/codeql-action/autobuild`
- [ ] `github/codeql-action/init` tylko dla skompilowanych języków programowania
- [ ] `github/codeql-action/analyze` tylko dla interpretowanych języków programowania
### Jaka jest najprostsza metoda równoczesnego wykonania analizy CodeQL dla każdego języka w repozytorium wielojęzycznym, korzystając z GitHub Actions?
> https://docs.github.com/en/code-security/code-scanning/creating-an-advanced-setup-for-code-scanning/customizing-your-advanced-setup-for-code-scanning#changing-the-languages-that-are-analyzed
1. [x] Tworząc macierz `languages` dla zadania, a następnie odwołując się do niej w parametrze wejściowym `languages` akcji `github/codeql-action/init`
1. [ ] Wywołując akcję `github/codeql-action/analyze` w oddzielnych krokach dla każdego języka
1. [ ] Tworząc oddzielny workflow dla każdego języka
1. [ ] Definiując równoległość w akcji `github/codeql-action/analyze`
### W jaki sposób można użyć niestandardowego pliku konfiguracyjnego CodeQL w przepływie pracy GitHub Actions?
> https://docs.github.com/en/code-security/code-scanning/creating-an-advanced-setup-for-code-scanning/customizing-your-advanced-setup-for-code-scanning#using-a-custom-configuration-file
1. [x] Poprzez jawne podanie ścieżki do pliku konfiguracyjnego w parametrze wejściowym `config-file` akcji `github/codeql-action/init`
1. [ ] Poprzez zapisanie konfiguracji w pliku `.github/codeql/config-config.yml`. Akcja `github/codeql-action/init` automatycznie wykryje plik i go użyje
1. [ ] Poprzez przesłanie tego pliku w sekcji Code Scanning zakładki Security w repozytorium
1. [ ] Poprzez zapisanie konfiguracji w pliku `.github/workflows/codeql-analysis.yml`. Akcja `github/codeql-action/init` automatycznie wykryje plik i go użyje
### Gdzie można określić zapytania CodeQL do uruchomienia w przepływie pracy GitHub Actions? (Wybierz dwie odpowiedzi.)
> https://docs.github.com/en/code-security/code-scanning/creating-an-advanced-setup-for-code-scanning/customizing-your-advanced-setup-for-code-scanning#running-additional-queries
- [x] W parametrze wejściowym `queries` akcji `github/codeql-action/init`
- [x] W pliku YAML konfiguracji CodeQL
- [ ] W parametrze wejściowym `paths` akcji `github/codeql-action/queries`
- [ ] W sekcji Skanowania Kodów (Code Scanning) w zakładce Bezpieczeństwo (Security) w repozytorium
- [ ] W polu `codeql` w pliku `.github/settings.yml`
### Jaki jest cel parametru `external-repository-token` w akcji GitHub `github/codeql-action/init`?
> https://docs.github.com/en/code-security/code-scanning/creating-an-advanced-setup-for-code-scanning/customizing-your-advanced-setup-for-code-scanning#using-queries-in-ql-packs
1. [x] Pozwala akcji na dostęp do prywatnego repozytorium GitHub, które zawiera pliki konfiguracyjne, zapytania lub paczki wymagane do analizy.
1. [ ] Pozwala akcji na przesyłanie wyników analizy do prywatnego repozytorium GitHub.
1. [ ] Pozwala akcji na dostęp do prywatnego repozytorium GitHub, które zawiera kod źródłowy do analizy.
1. [ ] Pozwala akcji na przesyłanie wygenerowanej bazy danych CodeQL do prywatnego repozytorium GitHub.
### Jakie polecenie CLI CodeQL służy do utworzenia bazy danych CodeQL?
> https://docs.github.com/en/code-security/codeql-cli/getting-started-with-the-codeql-cli/preparing-your-code-for-codeql-analysis#running-codeql-database-create
1. [x] `codeql database create`
1. [ ] `gh codeql-database create`
1. [ ] `ql database generate`
1. [ ] `qlcli database create`
### Jaki jest cel polecenia `codeql database analyze` w CodeQL CLI?
> https://docs.github.com/en/code-security/codeql-cli/getting-started-with-the-codeql-cli/analyzing-your-code-with-codeql-queries#running-codeql-database-analyze
1. [x] Analizowanie bazy danych CodeQL, generowanie wyników zazwyczaj w formacie pliku SARIF.
1. [ ] Analizowanie bazy danych CodeQL, generowanie wyników zazwyczaj w formie porad bezpieczeństwa.
1. [ ] Analizowanie kodu źródłowego, generowanie bazy danych CodeQL.
1. [ ] Analizowanie bazy danych CodeQL i przesyłanie wyników do GitHub.
> Wyniki nie są przesyłane do GitHub, do tego celu używane jest osobne polecenie.
### W ramach swojego potoku CI w Jenkins pomyślnie utworzyłeś i przeanalizowałeś bazę danych CodeQL, co skutkowało wygenerowaniem pliku SARIF. Jak możesz przesłać plik SARIF do GitHub? (Wybierz dwie.)
> https://docs.github.com/en/code-security/code-scanning/integrating-with-code-scanning/uploading-a-sarif-file-to-github#about-sarif-file-uploads-for-code-scanning
- [x] Używając komendy `codeql github upload-results` z CodeQL CLI
- [x] Używając GitHub REST API `POST /repos/{owner}/{repo}/code-scanning/sarifs` endpoint
- [ ] Używając komendy `gh codeql upload-results` z GitHub CLI
- [ ] Poprzez zatwierdzenie (commit) pliku SARIF do repozytorium GitHub
- [ ] Używając GitHub Action `github/codeql-action/upload-sarif`
> Nie możesz używać GitHub Actions w potokach Jenkins.
### Jakie szczegóły można znaleźć na stronie alertu skanowania kodu? (Wybierz trzy.)
> https://docs.github.com/en/code-security/code-scanning/managing-code-scanning-alerts/about-code-scanning-alerts#about-alert-details
- [x] Gałęzie dotknięte podatnością
- [x] Wyróżniony podatny kod
- [x] Stopień ważności podatności
- [ ] Informacje, ile razy podatność została wykorzystana
- [ ] Przydzielony programista do naprawy podatności
- [ ] ID bazy danych CodeQL, która została użyta do znalezienia podatności
### Które z poniższych stwierdzeń dotyczących przeglądania wyników analizy CodeQL są prawdziwe? (Wybierz dwa.)
> https://docs.github.com/en/code-security/code-scanning/managing-code-scanning-alerts/managing-code-scanning-alerts-for-your-repository#viewing-the-alerts-for-a-repository
- [x] Potrzebujesz uprawnień do zapisu, aby wyświetlić podsumowanie wszystkich alertów dla repozytorium w zakładce Bezpieczeństwo.
- [x] Każda osoba z uprawnieniami do odczytu dla repozytorium może zobaczyć adnotacje skanowania kodu w żądaniach ściągnięcia (pull requests).
- [ ] Potrzebujesz uprawnień do zapisu, aby wyświetlać adnotacje skanowania kodu w żądaniach ściągnięcia.
- [ ] Każda osoba z uprawnieniami do odczytu dla repozytorium może wyświetlać alerty skanowania kodu w zakładce Bezpieczeństwo.
- [ ] Tylko właściciel repozytorium może zobaczyć alerty skanowania kodu w zakładce Bezpieczeństwo.
### Kiedy przepływ pracy GitHub Actions z analizą CodeQL wykrywa nową podatność w pull requeście, gdzie można znaleźć informacje na temat tej podatności?
> https://docs.github.com/en/code-security/code-scanning/managing-code-scanning-alerts/triaging-code-scanning-alerts-in-pull-requests#about-code-scanning-results-on-pull-requests
1. [x] Bezpośrednio w pull requeście w postaci komentarza PR oraz błędu sprawdzania
1. [ ] W zakładce bezpieczeństwa repozytorium
1. [ ] W logach uruchomienia przepływu pracy
1. [ ] Przepływ pracy analizy CodeQL zakończy się niepowodzeniem i wygeneruje artefakt z wynikami
### Do czego służy opcja `Show paths` podczas przeglądania alertu skanowania kodu?
> https://docs.github.com/en/code-security/code-scanning/managing-code-scanning-alerts/managing-code-scanning-alerts-for-your-repository#viewing-the-alerts-for-a-repository
1. [x] Wyświetla ścieżkę przez kod prowadzącą do problemu powodującego alert.
1. [ ] Służy do pokazywania ścieżek do zapytań CodeQL, które zostały użyte do znalezienia podatności.
1. [ ] Wyświetla zalecenia dotyczące naprawy podatności.
1. [ ] Służy do pokazywania ścieżki pliku do bazy danych CodeQL, która została użyta do znalezienia podatności.
### Co oznacza zamknięcie alertu skanowania kodu?
> https://docs.github.com/en/code-security/code-scanning/managing-code-scanning-alerts/managing-code-scanning-alerts-for-your-repository#dismissing--alerts1. [x] Pytanie jednokrotnego wyboru - poprawna odpowiedź
1. [x] Zamknięcie alertu, który według Ciebie nie wymaga naprawy
1. [ ] Zamknięcie alertu po usunięciu podatności w kodzie
### Które z poniższych NIE jest prawidłowym podejściem do skrócenia czasu wykonywania analizy CodeQL?
> https://docs.github.com/en/code-security/code-scanning/troubleshooting-code-scanning/analysis-takes-too-long
1. [x] Uruchamianie analizy przy każdym zdarzeniu push
1. [ ] Używanie runnerów z większą ilością zasobów CPU/RAM
1. [ ] Równoległe wykonywanie analizy dla projektów wielojęzycznych
1. [ ] Ignorowanie nieistotnych plików i katalogów podczas analizy
1. [ ] Redukowanie liczby uruchamianych zapytań
### Jaki jest cel definiowania kategorii SARIF?
> https://docs.github.com/en/code-security/code-scanning/integrating-with-code-scanning/sarif-support-for-code-scanning#uploading-more-than-one-sarif-file-for-a-commit
1. [x] Użyj kategorii, aby rozróżnić między wieloma analizami dla tego samego narzędzia lub commitu, ale wykonanymi na różnych językach lub różnych częściach kodu.
1. [ ] Użyj kategorii, aby rozróżnić pliki, które zostały przeanalizowane, od plików, które nie zostały przeanalizowane.
1. [ ] Użyj kategorii, aby rozróżnić pliki zawierające podatności od plików, które ich nie zawierają.
1. [ ] Użyj innej kategorii dla każdego przeanalizowanego pliku, aby łatwo powiązać podatności z plikami, które je zawierają.
### Jak włączyć funkcje GitHub Advanced Security na GitHub Enterprise Server? (Wybierz dwie.)
> https://docs.github.com/en/[email protected]/admin/code-security/managing-github-advanced-security-for-your-enterprise/enabling-github-advanced-security-for-your-enterprise
- [x] W zakładce Security w konsoli zarządzania Site admin.
- [x] Poprzez bezpośrednie połączenie z instancją GitHub Enterprise Server przez SSH i użycie poleceń powłoki administracyjnej `ghe-config`.
- [ ] Poprzez zgłoszenie żądania aktualizacji do GitHub Support.
- [ ] Poprzez ustawienie opcji konfiguracyjnej `github.advanced_security.enabled` na `true` w pliku `config.yml` w katalogu `/etc/github` na instancji GitHub Enterprise Server.
- [ ] Poprzez ustawienie opcji konfiguracyjnej `github.advanced_security.enabled` na `true` w pliku `config.yml` w repozytorium `.github`.
### Jak można włączyć funkcje GitHub Advanced Security dla wszystkich repozytoriów w organizacji w GitHub Enterprise Cloud?
> https://docs.github.com/en/enterprise-cloud@latest/organizations/keeping-your-organization-secure/managing-security-settings-for-your-organization/managing-security-and-analysis-settings-for-your-organization#enabling-or-disabling-a-feature-for-all-existing-repositories
1. [x] W sekcji `Code security and analysis` ustawień organizacji
1. [ ] Poprzez bezpośrednie połączenie z instancją GitHub Enterprise Cloud za pomocą SSH i korzystanie z komend powłoki administracyjnej `ghe-config`.
> To jest opcja dostępna podczas korzystania z GitHub Enterprise Server
1. [ ] Poprzez zgłoszenie wniosku o aktualizację do wsparcia technicznego GitHub
1. [ ] Na stronie administracyjnej konta enterprise
### Jako opiekun repozytorium, gdzie powinieneś umieścić instrukcje dotyczące zgłaszania luk bezpieczeństwa w Twojej bazie kodu?
> https://docs.github.com/en/code-security/getting-started/adding-a-security-policy-to-your-repository#about-security-policies
1. [x] W pliku `SECURITY.md`
1. [ ] W pliku `CONTRIBUTING.md`
1. [ ] W pliku `README.md`
1. [ ] W pliku `CODE_OF_CONDUCT.md`
### Czym jest polityka bezpieczeństwa na GitHub?
> https://docs.github.com/en/code-security/getting-started/adding-a-security-policy-to-your-repository#about-security-policies
1. [x] To dokument, który instruuje użytkowników, jak odpowiedzialnie zgłaszać luki bezpieczeństwa w projekcie. Zazwyczaj jest zdefiniowany w pliku `SECURITY.md` w repozytorium.
1. [ ] To narzędzie automatycznie naprawiające luki bezpieczeństwa w twoim kodzie.
1. [ ] To funkcja umożliwiająca szyfrowanie twojego repozytorium.
1. [ ] Polityka bezpieczeństwa na GitHub to usługa subskrypcyjna oferująca ochronę antywirusową dla twoich projektów.
### Jak ustawić domyślną politykę bezpieczeństwa dla wszystkich repozytoriów w organizacji GitHub `my-org`?
> https://docs.github.com/en/communities/setting-up-your-project-for-healthy-contributions/creating-a-default-community-health-file#supported-file-types
1. [x] Tworząc plik `SECURITY.md` w repozytorium `my-org/.github`
1. [ ] Edytując politykę bezpieczeństwa w ustawieniach organizacji `Code Security and analysis`
1. [ ] Domyślne polityki bezpieczeństwa mogą być ustawione tylko przez wsparcie GitHub
1. [ ] Możesz ustawić domyślną politykę bezpieczeństwa dla wszystkich repozytoriów w organizacji `my-org` poprzez dodanie pliku `SECURITY.md` do każdego indywidualnego repozytorium.
### Który endpoint API można użyć do pobrania listy wszystkich alertów Dependabot dla przedsiębiorstwa?
> https://docs.github.com/en/rest/dependabot/alerts?apiVersion=2022-11-28#list-dependabot-alerts-for-an-enterprise
1. [x] `GET /enterprises/{enterprise}/dependabot/alerts`
1. [ ] `GET /orgs/{org}/dependabot/alerts`
> To jest poprawny endpoint dla organizacji, ale nie dla przedsiębiorstwa
1. [ ] `GET /repos/{owner}/{repo}/dependabot/alerts`
> To jest poprawny endpoint dla repozytorium, ale nie dla przedsiębiorstwa
1. [ ] `GET /github/{enterprise}/dependabot/alerts`
### Który punkt końcowy API można użyć do pobrania listy wszystkich alertów skanowania sekretów dla organizacji?
> https://docs.github.com/en/rest/secret-scanning/secret-scanning?apiVersion=2022-11-28#list-secret-scanning-alerts-for-an-organization
1. [x] `GET /orgs/{org}/secret-scanning/alerts`
1. [ ] `GET /enterprises/{enterprise}/secret-scanning/alerts`
> To jest poprawny punkt końcowy dla przedsiębiorstwa, ale nie dla organizacji
1. [ ] `GET /repos/{owner}/{repo}/secret-scanning/alerts`
> To jest poprawny punkt końcowy dla repozytorium, ale nie dla organizacji
1. [ ] `GET /github/{org}/secret-scanning/alerts`
### Który endpoint API można użyć do pobrania listy wszystkich alertów skanowania kodu dla repozytorium?
> https://docs.github.com/en/rest/code-scanning/code-scanning?apiVersion=2022-11-28#list-code-scanning-alerts-for-a-repository
1. [x] `GET /repos/{owner}/{repo}/code-scanning/alerts`
1. [ ] `GET /orgs/{org}/{repo}/code-scanning/alerts`
1. [ ] `GET /{enterprise}/{org}/{repo}/code-scanning/alerts`
1. [ ] `GET /github/{repo}/code-scanning/alerts`
### Które z tych stwierdzeń najlepiej definiuje podatną zależność?
> https://docs.github.com/en/code-security/dependabot/dependabot-alerts/about-dependabot-alerts
1. [x] Podatna zależność to zależność, od której projekt jest zależny, zawierająca luki bezpieczeństwa, które mogą potencjalnie zostać wykorzystane, zagrażając bezpieczeństwu projektu.
1. [ ] Podatna zależność to zależność, od której projekt jest zależny, która nie była aktualizowana przez długi czas.
1. [ ] Podatna zależność to zależność, od której projekt jest zależny, która nie jest powszechnie używana ani popularna.
1. [ ] Podatna zależność to zależność, od której projekt jest zależny, która nie jest zweryfikowana przez GitHub.
### Czym są aktualizacje bezpieczeństwa Dependabot?
> https://docs.github.com/en/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates
1. [x] To funkcja Dependabot, która automatycznie tworzy pull requesty w celu aktualizacji wrażliwych zależności w Twoim repozytorium.
1. [ ] To funkcja Dependabot, która tworzy listę wrażliwych zależności w Twoim repozytorium.
1. [ ] To funkcja Dependabot, która generuje alerty, gdy wykryta zostanie luka bezpieczeństwa w jednej z Twoich zależności.
> To są alerty Dependabot, aktualizacje bezpieczeństwa Dependabot opierają się na alertach Dependabot.
1. [ ] To funkcja Dependabot, która automatycznie tworzy pull requesty w celu aktualizacji zależności w Twoim repozytorium, gdy zostanie wydana ich nowa wersja.
> To są aktualizacje wersji Dependabot.
### Alerty Dependabot są domyślnie włączone dla:
> https://docs.github.com/en/code-security/dependabot/dependabot-alerts/about-dependabot-alerts#configuration-of-dependabot-alerts
1. [x] Alerty Dependabot nie są domyślnie włączone dla żadnych repozytoriów.
1. [ ] Wyłącznie publicznych repozytoriów.
> GitHub wykrywa podatne zależności w publicznych repozytoriach i wyświetla graf zależności, ale nie generuje alertów Dependabot domyślnie.
1. [ ] Wszystkich repozytoriów.
1. [ ] Wyłącznie prywatnych repozytoriów.
### Kto może włączyć alerty Dependabot w repozytorium?
> https://docs.github.com/en/code-security/dependabot/dependabot-alerts/about-dependabot-alerts#configuration-of-dependabot-alerts
1. [x] Właściciele repozytoriów i osoby z dostępem administracyjnym
1. [ ] Tylko właściciel repozytorium
1. [ ] Alerty Dependabot są włączone we wszystkich repozytoriach przez GitHub i nie mogą być wyłączane ani włączane przez żadną osobę indywidualnie.
1. [ ] Alerty Dependabot są włączane przez dodanie GitHub Action do repozytorium, więc każdy, kto ma zapisowy dostęp do repozytorium, może je włączyć.
### Jaki jest najniższy poziom dostępu potrzebny do przeglądania alertów Dependabot w repozytorium w organizacji?
> https://docs.github.com/en/organizations/managing-user-access-to-your-organizations-repositories/managing-repository-roles/repository-roles-for-an-organization#access-requirements-for-security-features
1. [x] Write
1. [ ] Read
1. [ ] Maintain
1. [ ] Triage
1. [ ] Admin
### Aby włączyć Alerty Dependabot we wszystkich repozytoriach w organizacji, powinieneś:
> https://docs.github.com/en/code-security/dependabot/dependabot-alerts/configuring-dependabot-alerts#enabling-or-disabling-dependabot-alerts-for-all-existing-repositories
1. [x] Przejść do ustawień organizacji `Bezpieczeństwo kodu i analiza` i włączyć Alerty Dependabot dla wszystkich repozytoriów jednocześnie.
1. [ ] Ustawić wszystkie repozytoria w organizacji jako prywatne.
1. [ ] We wszystkich repozytoriach organizacji uruchomić GitHub Action `actions/enable-ghas` z parametrem `alerts` ustawionym na `true`.
1. [ ] Utworzyć skrypt, który włączy Alerty Dependabot we wszystkich repozytoriach organizacji.
### Który z poniższych to poprawny plik konfiguracyjny `dependabot.yml`?
> https://docs.github.com/en/code-security/dependabot/dependabot-version-updates/configuration-options-for-the-dependabot.yml-file
1. [x]
```yaml
version: 2
updates:
- package-ecosystem: "npm"
directory: "/"
schedule:
interval: "daily"
```
1. [ ]
```yaml
version: 2
config:
- directory: "/"
schedule:
interval: "daily"
```
1. [ ]
```yaml
version: 2
updates:
- package-ecosystem: "npm"
directory: "/"
schedule:
interval: "everyday"
```
1. [ ]
```yaml
version: 2
config:
- package-ecosystem: "npm"
directory: "/"
schedule:
interval: "daily"
```
### Który z tych kanałów nie jest obsługiwany przez GitHub do otrzymywania alertów Dependabot?
> https://docs.github.com/en/code-security/dependabot/dependabot-alerts/configuring-notifications-for-dependabot-alerts#configuring-notifications-for-dependabot-alerts
1. [x] SMS/Połączenie telefoniczne
1. [ ] Powiadomienia w skrzynce odbiorczej github.com
1. [ ] GitHub Mobile
1. [ ] GitHub CLI
> Ostrzeżenia są wyświetlane jako callbacki, gdy przesyłasz do repozytoriów z jakimikolwiek niebezpiecznymi zależnościami
1. [ ] E-mail
### Co to są reguły automatycznej triage Dependabot?
> https://docs.github.com/en/code-security/dependabot/dependabot-auto-triage-rules/about-dependabot-auto-triage-rules
1. [x] To funkcja, która pozwala Dependabotowi automatycznie odrzucać alerty Dependabot spełniające określone kryteria.
1. [ ] Reguły automatycznej triage są definiowane w pliku konfiguracyjnym `dependabot.yml`, aby określić, które menedżery pakietów powinny być używane do skanowania projektu pod kątem podatności.
1. [ ] Reguły automatycznej triage Dependabot są używane do automatycznego usuwania starych zależności w projekcie.
1. [ ] Reguły automatycznej triage definiują, jak często Dependabot powinien skanować projekt pod kątem podatności.
### Jak można zautomatyzować odrzucanie alertów Dependabot o niskim poziomie ważności?
> https://docs.github.com/en/code-security/dependabot/dependabot-auto-triage-rules/about-dependabot-auto-triage-rules
1. [x] Korzystając z zasad automatycznej triage'u Dependabot.
1. [ ] Ustawiając pole `severity` w pliku `dependabot.yml` na wysokie
1. [ ] Usuwając wszystkie zależności powodujące alerty o niskim poziomie ważności
1. [ ] Ustawiając pole `dismiss-severity` w pliku `dependabot.yml` na niskie
### Aby włączyć aktualizacje bezpieczeństwa Dependabot dla wszystkich repozytoriów w organizacji, należy:
> https://docs.github.com/en/organizations/keeping-your-organization-secure/managing-security-settings-for-your-organization/managing-security-and-analysis-settings-for-your-organization#enabling-or-disabling-a-feature-for-all-existing-repositories
1. [x] Przejść do ustawień `Code security and analysis` organizacji i włączyć aktualizacje bezpieczeństwa Dependabot dla wszystkich repozytoriów jednocześnie.
1. [ ] Ustawić wszystkie repozytoria w organizacji jako prywatne.
1. [ ] Uruchomić GitHub Action `actions/enable-ghas` z parametrem `security-updates` ustawionym na `true` dla wszystkich repozytoriów w organizacji.
1. [ ] Utworzyć skrypt, który włączy aktualizacje bezpieczeństwa Dependabot we wszystkich repozytoriach w organizacji.
### Narzędzie, które sprawdza, czy pull request wprowadza zależności z lukami bezpieczeństwa, nazywa się:
> https://docs.github.com/en/code-security/supply-chain-security/understanding-your-software-supply-chain/about-dependency-review
1. [x] Dependency Review
1. [ ] Dependabot Alerts
1. [ ] Dependabot Security Updates
1. [ ] Dependabot Version Updates
### Musisz mieć włączone GitHub Actions dla
> https://docs.github.com/en/code-security/dependabot/dependabot-version-updates/about-dependabot-version-updates#about-dependabot-version-updates
1. [x] Dependency Review
1. [ ] Dependabot Security Updates
1. [ ] Dependabot Version Updates
1. [ ] Wszystkich powyższych
> GitHub Actions nie jest wymagany do uruchomienia aktualizacji wersji Dependabot i aktualizacji zabezpieczeń Dependabot na GitHubie. Jednak pull requesty otwierane przez Dependabot mogą uruchamiać workflowy wykorzystujące akcje.
1. [ ] Żadnych z powyższych
> Przegląd zależności używa GitHub Action `actions/dependency-review-action`
### Co oznacza skrót `CVSS`?
> https://docs.github.com/en/code-security/code-scanning/managing-code-scanning-alerts/about-code-scanning-alerts#about-alert-severity-and-security-severity-levels
1. [x] `Common Vulnerability Scoring System`
1. [ ] `Code Verification Security System`
1. [ ] `Critical Vulnerability Scanning Service`
1. [ ] `Cybersecurity Validation Scoring Scheme`
### Co oznacza `CVE`?
> https://docs.github.com/en/code-security/security-advisories/working-with-repository-security-advisories/about-repository-security-advisories#cve-identification-numbers
1. [x] `Common Vulnerabilities and Exposures`
1. [ ] `Common Virus Elimination`
1. [ ] `Cybersecurity Verification Entity`
1. [ ] `Code Validation and Enumeration`
### Co oznacza skrót `CWE`?
> https://cwe.mitre.org/
1. [x] `Common Weakness Enumeration`
1. [ ] `Cybersecurity Weakness Enumeration`
1. [ ] `Code Wrapping Engine`
1. [ ] `Critical Web Elements`
### Która komenda komentarza Dependabot sprawi, że pull request zostanie pomyślnie ukończony?
> https://docs.github.com/en/code-security/dependabot/working-with-dependabot/managing-pull-requests-for-dependency-updates#managing-dependabot-pull-requests-with-comment-commands
1. [ ] `@dependabot close`
1. [x] `@dependabot merge`
1. [ ] `@dependabot cancel merge`
1. [ ] `@dependabot rebase`
### Zadania uruchamiane na runnerach macOS hostowanych przez GitHub zużywają minuty w __ tempie co runnery Linux
> https://docs.github.com/en/billing/managing-billing-for-github-actions/about-billing-for-github-actions#minute-multipliers
1. [ ] takim samym
1. [ ] 2x
1. [ ] 5x
1. [x] 10x
Szczegóły
Uznajesz ten test próbny za przydatny?
Zostaw ⭐ na repozytorium i rozważ wsparcie społeczności poprzez:
- wniesienie wkładu w postaci jednego lub więcej pytań do próbnego egzaminu (zajmuje to tylko kilka minut)