Pytania dotyczące zaawansowanego bezpieczeństwa GitHub

Zaawansowane bezpieczeństwo GitHub

  1. Czym jest CodeQL?
  2. Co oznacza termin `shifting left` w kontekście bezpieczeństwa?
  3. Czym są Porady Bezpieczeństwa Repozytorium?
  4. Które narzędzie pomaga utrzymać zależności repozytorium w aktualności?
  5. Która z poniższych opcji jest kuratorską listą podatności bezpieczeństwa znalezionych w projektach open source?
  6. Które z tych funkcji bezpieczeństwa GitHub są DOSTĘPNE ZA DARMO zarówno dla publicznych, jak i prywatnych osobistych repozytoriów? (Wybierz cztery.)
  7. Które z poniższych najlepiej opisuje skanowanie sekretów?
  8. Które części repozytorium są skanowane przez skanowanie sekretów? (Wybierz dwie.)
  9. Jaki jest cel programu partnerskiego skanowania tajemnic?
  10. Publiczne repozytoria należące do użytkowników indywidualnych, jak również publiczne repozytoria należące do organizacji, mogą korzystać z bezpłatnego skanowania w poszukiwaniu tajemnic.
  11. Jak można zapobiec wypychaniu do GitHub commitów zawierających dane uwierzytelniające dostawców chmury?
  12. Które z poniższych stwierdzeń są prawdziwe w kontekście programu partnerskiego skanowania sekretów GitHub? (Wybierz trzy.)
  13. Jak wykluczyć określone katalogi lub pliki z skanowania w poszukiwaniu sekretów?
  14. Do swojego kodu testowego wprowadziłeś kilka fałszywych sekretów, które zostały wykryte przez funkcję skanowania sekretów GitHub. Co możesz zrobić, aby poinformować GitHub, że są to fałszywe sekrety używane w testach i można je pominąć w skanowaniu? (Wybierz dwie odpowiedzi.)
  15. Przez przypadek umieściłeś swój osobisty token dostępu do GitHub w publicznym repozytorium. Jakie działania należy podjąć, aby zapobiec przejęciu Twojego konta?
  16. Jakie jest zachowanie, gdy nowy wzorzec tajemnicy zostanie dodany lub zaktualizowany w programie partnerskim skanowania tajemnic GitHub?
  17. Kto zostanie powiadomiony, gdy NOWY sekret zostanie wgrany i wykryty w repozytorium? (Wybierz pięć.)
  18. Kiedy GitHub przeprowadza skanowanie całego historycznego kodu w repozytoriach przedsiębiorstwa, jakie jest zachowanie powiadomień? (Wybierz dwie.)
  19. Czy GitHub używa tego samego zestawu wzorców skanowania sekretów zarówno dla alertów użytkownika, jak i alertów ochrony przy pushu?
  20. Jakie są trzy różne zestawy wzorców skanowania tajnych danych, które utrzymuje GitHub? (Wybierz trzy.)
  21. W wielu publicznych repozytoriach, do których wnosisz wkład, opcja ochrony skanowania tajemnic przy pushu nie jest włączona. Co możesz zrobić, aby chronić się przed przypadkowym wysłaniem tajemnic do tych repozytoriów?
  22. Twoja firma posiada wewnętrzne sekrety, które nie powinny być wysyłane do repozytoriów GitHub. Wzorzec tych sekretów nie jest rozpoznawany przez GitHub i dlatego nie jest wykrywany przez skanowanie sekretów. Co firmy mogą zrobić, aby chronić swoich programistów przed przypadkowym wysłaniem tych sekretów do repozytoriów w ich organizacji GitHub?
  23. Jakie informacje dostarczają alerty Dependabot?
  24. Czym jest wykres zależności GitHub?
  25. Czy graf zależności GitHub jest dostępny za darmo dla wszystkich repozytoriów?
  26. W jaki sposób Dependency graph GitHub rozpoznaje, jakich zależności używa Twój projekt? (Wybierz dwa.)
  27. Kiedy zostanie zaktualizowany wykres zależności GitHub dla Twojego repozytorium? (Wybierz dwie odpowiedzi.)
  28. W jakim formacie można wyeksportować wykres zależności GitHub swojego repozytorium?
  29. Czy Twoje repozytorium może używać Grafu Zależności bez korzystania z Alertów Dependabot?
  30. Która funkcja jest wymagana, aby korzystać z alertów Dependabot w repozytorium?
  31. Które z tych stwierdzeń dotyczących Alertów Dependabot są prawdziwe? (Wybierz trzy.)
  32. Jakie są główne korzyści funkcji Security Overview w GitHub?
  33. Czym jest CodeQL?
  34. Co wskazują alerty Dependabot w GitHub?
  35. Jaki jest cel skanowania kodu w GitHub?
  36. Czy skanowanie sekretów jest dostępne zarówno dla publicznych, jak i prywatnych repozytoriów na GitHubie?
  37. Co robi domyślna konfiguracja analizy CodeQL w GitHubie?
  38. Jaki jest główny cel używania CodeQL CLI?
  39. Który z poniższych języków NIE jest obsługiwany przez CodeQL do skanowania kodu?
  40. Jak CodeQL analizuje kod w GitHub?
  41. Jak można używać CodeQL w zewnętrznym systemie CI wraz z repozytoriami GitHub?
  42. Które z poniższych stwierdzeń na temat skanowania tajemnic na GitHubie nie jest prawdziwe?
  43. Jakie kluczowe klucze najwyższego poziomu są wymagane w pliku `dependabot.yml`?
  44. Która akcja GitHub może być używana do przesyłania pliku SARIF pochodzącego od zewnętrznego dostawcy?
  45. Które narzędzie można wykorzystać w zewnętrznym systemie CI do przesyłania wyników analizy kodu na GitHub?
  46. Co jest wymagane, aby serwer CI przesłał wyniki SARIF do GitHub?
  47. Co się dzieje, gdy do GitHub zostanie przesłany drugi plik wynikowy SARIF dla jednego commita?
  48. Jak użytkownicy mogą wykluczyć określone katalogi z alertów skanowania sekretów na GitHub?
  49. Którego klucza należy użyć w pliku `secret_scanning.yml`, aby wykluczyć katalogi z alertów skanowania tajemnic w GitHub?
  50. Jaka jest maksymalna liczba niestandardowych wzorców, które można zdefiniować dla skanowania sekretów na GitHubie?
  51. Uzupełnij zdanie: `GitHub __________ to funkcja, której można używać do analizowania kodu w repozytorium GitHub, aby znaleźć podatności bezpieczeństwa i błędy w kodzie.`
  52. Która funkcja GitHub Advanced Security pozwala znaleźć, ocenić i priorytetyzować poprawki dla nowych i istniejących problemów w Twoim kodzie?
  53. Jak można włączyć skanowanie kodu dla repozytorium?
  54. Jak skonfigurować repozytorium GitHub, aby uruchamiało analizę CodeQL według harmonogramu? (Wybierz dwie odpowiedzi.)
  55. Organizacja niedawno zaczęła używać analizy CodeQL dla wszystkich pull requestów w swoich repozytoriach, a także uruchamia analizę według godzinowego harmonogramu. Od tego czasu doświadczają wyższych niż zwykle rachunków za GitHub Actions. Jaka jest najbardziej prawdopodobna przyczyna tego?
  56. Jeśli nie chcesz używać GitHub Actions, możesz uruchomić skanowanie kodu w zewnętrznym systemie CI, a następnie przesłać wyniki do GitHub.
  57. Korzystając z zewnętrznego systemu CI do skanowania kodu, jakiego narzędzia GitHub potrzebujesz, aby przeanalizować bazę kodu?
  58. Kiedy używasz GitHub Actions jako systemu CI oraz narzędzia firmy trzeciej do skanowania kodu, jak możesz przesłać wyniki SARIF do GitHub?
  59. Czy można używać analizy CodeQL z zewnętrznymi systemami CI?
  60. Które z poniższych stwierdzeń dotyczących skanowania kodu są prawdziwe? (Wybierz dwa.)
  61. Podczas używania analizy CodeQL w swoim przepływie pracy GitHub Actions, jak często jest uruchamiane skanowanie?
  62. Jaki jest efekt dodania słowa kluczowego `paths-ignore` do przepływu pracy GitHub Actions do skanowania kodu?
  63. Skanowanie CodeQL obsługuje:
  64. Do czego służą zapytania CodeQL?
  65. Czym jest QL?
  66. Czym jest zestaw zapytań CodeQL?
  67. Jakie są różne rodzaje pakietów CodeQL? (Wybierz trzy.)
  68. Czym jest pakiet zapytań CodeQL?
  69. Jakie są kroki w przepływie pracy analizy CodeQL?
  70. Czym jest ekstrakcja w kontekście analizy kodu przy użyciu CodeQL?
  71. Które z poniższych stwierdzeń są prawdziwe w odniesieniu do analizy CodeQL na bazach kodu zawierających wiele języków programowania? (Wybierz dwa.)
  72. Jakie są różnice w tworzeniu bazy danych CodeQL dla języków kompilowanych i interpretowanych? (Wybierz dwie.)
  73. Gdzie możesz zobaczyć, kiedy ostatnia analiza CodeQL została przeprowadzona przy użyciu domyślnej konfiguracji skanowania kodu?
  74. Które z poniższych stwierdzeń dotyczących włączania domyślnej konfiguracji skanowania CodeQL są prawdziwe? (Wybierz trzy.)
  75. Jak dostosować zaawansowane skanowanie CodeQL za pomocą dodatkowych zestawów zapytań CodeQL? (Wybierz dwie odpowiedzi.)
  76. Podczas uruchamiania analizy CodeQL w GitHub Actions, jakie Actions powinieneś użyć? (Wybierz trzy.)
  77. Jaka jest najprostsza metoda równoczesnego wykonania analizy CodeQL dla każdego języka w repozytorium wielojęzycznym, korzystając z GitHub Actions?
  78. W jaki sposób można użyć niestandardowego pliku konfiguracyjnego CodeQL w przepływie pracy GitHub Actions?
  79. Gdzie można określić zapytania CodeQL do uruchomienia w przepływie pracy GitHub Actions? (Wybierz dwie odpowiedzi.)
  80. Jaki jest cel parametru `external-repository-token` w akcji GitHub `github/codeql-action/init`?
  81. Jakie polecenie CLI CodeQL służy do utworzenia bazy danych CodeQL?
  82. Jaki jest cel polecenia `codeql database analyze` w CodeQL CLI?
  83. W ramach swojego potoku CI w Jenkins pomyślnie utworzyłeś i przeanalizowałeś bazę danych CodeQL, co skutkowało wygenerowaniem pliku SARIF. Jak możesz przesłać plik SARIF do GitHub? (Wybierz dwie.)
  84. Jakie szczegóły można znaleźć na stronie alertu skanowania kodu? (Wybierz trzy.)
  85. Które z poniższych stwierdzeń dotyczących przeglądania wyników analizy CodeQL są prawdziwe? (Wybierz dwa.)
  86. Kiedy przepływ pracy GitHub Actions z analizą CodeQL wykrywa nową podatność w pull requeście, gdzie można znaleźć informacje na temat tej podatności?
  87. Do czego służy opcja `Show paths` podczas przeglądania alertu skanowania kodu?
  88. Co oznacza zamknięcie alertu skanowania kodu?
  89. Które z poniższych NIE jest prawidłowym podejściem do skrócenia czasu wykonywania analizy CodeQL?
  90. Jaki jest cel definiowania kategorii SARIF?
  91. Jak włączyć funkcje GitHub Advanced Security na GitHub Enterprise Server? (Wybierz dwie.)
  92. Jak można włączyć funkcje GitHub Advanced Security dla wszystkich repozytoriów w organizacji w GitHub Enterprise Cloud?
  93. Jako opiekun repozytorium, gdzie powinieneś umieścić instrukcje dotyczące zgłaszania luk bezpieczeństwa w Twojej bazie kodu?
  94. Czym jest polityka bezpieczeństwa na GitHub?
  95. Jak ustawić domyślną politykę bezpieczeństwa dla wszystkich repozytoriów w organizacji GitHub `my-org`?
  96. Który endpoint API można użyć do pobrania listy wszystkich alertów Dependabot dla przedsiębiorstwa?
  97. Który punkt końcowy API można użyć do pobrania listy wszystkich alertów skanowania sekretów dla organizacji?
  98. Który endpoint API można użyć do pobrania listy wszystkich alertów skanowania kodu dla repozytorium?
  99. Które z tych stwierdzeń najlepiej definiuje podatną zależność?
  100. Czym są aktualizacje bezpieczeństwa Dependabot?
  101. Alerty Dependabot są domyślnie włączone dla:
  102. Kto może włączyć alerty Dependabot w repozytorium?
  103. Jaki jest najniższy poziom dostępu potrzebny do przeglądania alertów Dependabot w repozytorium w organizacji?
  104. Aby włączyć Alerty Dependabot we wszystkich repozytoriach w organizacji, powinieneś:
  105. Który z poniższych to poprawny plik konfiguracyjny `dependabot.yml`?
  106. Który z tych kanałów nie jest obsługiwany przez GitHub do otrzymywania alertów Dependabot?
  107. Co to są reguły automatycznej triage Dependabot?
  108. Jak można zautomatyzować odrzucanie alertów Dependabot o niskim poziomie ważności?
  109. Aby włączyć aktualizacje bezpieczeństwa Dependabot dla wszystkich repozytoriów w organizacji, należy:
  110. Narzędzie, które sprawdza, czy pull request wprowadza zależności z lukami bezpieczeństwa, nazywa się:
  111. Musisz mieć włączone GitHub Actions dla
  112. Co oznacza skrót `CVSS`?
  113. Co oznacza `CVE`?
  114. Co oznacza skrót `CWE`?
  115. Która komenda komentarza Dependabot sprawi, że pull request zostanie pomyślnie ukończony?
  116. Zadania uruchamiane na runnerach macOS hostowanych przez GitHub zużywają minuty w __ tempie co runnery Linux