
6 thiết lập bảo mật quan trọng mọi Maintainer GitHub cần kích hoạt ngay trong tuần này
Đừng để dự án của bạn trở thành mục tiêu dễ dàng cho tin tặc. Bài viết này hướng dẫn chi tiết 6 thiết lập bảo mật miễn phí trên GitHub giúp bạn đóng chặt các 'cánh cửa' rủi ro, từ việc quản lý lỗ hổng, quét mã độc cho đến bảo vệ nhánh code, giúp dự án của bạn an toàn hơn đáng kể.

Tại GitHub Security Lab, chúng tôi thường xuyên làm việc với các maintainer (người duy trì dự án). Nhiều người trong số họ cảm thấy trang cài đặt bảo mật của GitHub quá phức tạp và tài liệu hướng dẫn thì quá dàn trải. Phần lớn các maintainer không phải là kỹ sư bảo mật chuyên nghiệp. Tuy nhiên, việc bỏ qua hoàn toàn các thiết lập bảo mật sẽ khiến dự án của bạn đối mặt với nguy cơ bị tấn công, lộ lỗ hổng và gây ảnh hưởng nghiêm trọng đến người dùng.
Dưới đây là 6 thiết lập miễn phí, giúp bạn tăng cường bảo mật dự án chỉ trong vòng chưa đầy 30 phút.
1. Thêm tệp SECURITY.md
Đây là bước đơn giản nhất nhưng lại mang tính quyết định. Tệp SECURITY.md cho phép những người phát hiện lỗi trong dự án của bạn biết cách báo cáo chúng một cách an toàn.
- Tại sao cần: Nếu không có tệp này, người báo cáo sẽ buộc phải đăng công khai lên phần Issues (biến lỗ hổng thành mục tiêu tấn công công khai) hoặc gửi email cá nhân (nếu họ tìm được).
- Cách thực hiện: Hãy cung cấp một kênh liên lạc (như email) để các nhà nghiên cứu bảo mật có thể liên hệ trực tiếp. Bạn nên nêu rõ các loại lỗi nào nằm trong phạm vi (in-scope) và các kỳ vọng của bạn khi tiếp nhận báo cáo. Hãy tham khảo cấu trúc từ dự án systemd để xây dựng chính sách của riêng bạn.
2. Bật tính năng báo cáo lỗ hổng bảo mật riêng tư (Private Vulnerability Reporting)
Sau khi đã có SECURITY.md, bạn cần một nơi để tiếp nhận báo cáo mà không bị lộ ra ngoài.
- Cách thực hiện: Truy cập Settings > Security và tích chọn vào ô kích hoạt Private Vulnerability Reporting. Khi bật tính năng này, các nhà nghiên cứu có thể gửi báo cáo bảo mật dưới dạng 'Confidential Advisory'. Bạn có thể trao đổi, sửa lỗi và công bố thông tin theo lộ trình riêng của mình.
3. Kích hoạt Secret Scanning và Push Protection
Đây là tính năng ngăn chặn lỗi "rò rỉ bí mật" (secret sprawl) - một trong những sai lầm phổ biến nhất.
- Số liệu đáng báo động: Theo báo cáo của GitGuardian 2026, có tới 28,65 triệu bí mật mới bị rò rỉ trên GitHub công khai trong năm 2025, tăng 34% so với năm trước. Các commit hỗ trợ bởi AI đang làm tăng tốc độ rò rỉ này.
- Cách hoạt động: Secret scanning sẽ quét và chặn các khóa (keys), token ngay tại máy cục bộ trước khi chúng được đẩy (push) lên repository. Điều này bảo vệ dự án của bạn khỏi việc lộ thông tin xác thực quan trọng.
4. Sử dụng Dependabot và Dependency Review
Dự án của bạn không chỉ là code bạn viết, mà còn là hàng chục, thậm chí hàng trăm gói thư viện (dependencies) mà bạn sử dụng.
- Dependabot: Tự động cảnh báo khi một gói thư viện bạn đang dùng có lỗ hổng bảo mật đã biết.
- Dependency Review: Cho phép bạn xem chính xác những gì được thêm vào hoặc nâng cấp trong một Pull Request và liệu chúng có chứa lỗ hổng hay không. Nó biến một tệp
package.jsonphức tạp thành một bản đánh giá chỉ mất 2 phút.
5. Bật Code Scanning
Code scanning thực hiện phân tích tĩnh (static analysis) trên repo của bạn để phát hiện các mẫu mã nguồn dẫn đến lỗi thực tế như: SQL injection, Command injection, hay Deserialization không an toàn.
- Công cụ: Sử dụng CodeQL - công cụ mạnh mẽ nhất được GitHub tích hợp sẵn.
- Cách thực hiện: Bạn không cần cấu hình phức tạp. Trong tab Security and Quality, hãy chọn Default setup. Hệ thống sẽ tự động chọn gói truy vấn phù hợp với ngôn ngữ lập trình của bạn và chạy trên mỗi Pull Request.
6. Thiết lập Branch Protection cho nhánh mặc định
Đây là thiết lập đơn giản nhưng có tác động lớn nhất.
- Cách thực hiện: Yêu cầu phải có Pull Request trước khi merge vào nhánh chính (main) và bắt buộc phải có ít nhất một lượt phê duyệt (approval).
- Lợi ích: Điều này ngăn chặn các tình huống xấu nhất như: thông tin xác thực bị đánh cắp, cộng tác viên nhầm lẫn hoặc chính bạn vô tình push code thẳng lên production. Nó cũng đảm bảo rằng các cảnh báo từ Dependabot hay Code scanning sẽ thực sự chặn được việc merge nếu có lỗi xảy ra.
Công cụ hỗ trợ: Protect Your Project
GitHub đã xây dựng một trình hướng dẫn gọi là Protect Your Project. Đây là một wizard giúp bạn kích hoạt cả 6 thiết lập này trên một repository chỉ trong 10-15 phút mà không cần đăng ký thêm bất kỳ dịch vụ nào khác.
Hãy dành thời gian trong tuần này để thực hiện ngay, vì sự an toàn của dự án và cộng đồng người dùng của bạn!
Do you like this post?
Upvote to push this post higher on the community feed
