软件安全标准

Appearance

项目提交流程

本文档说明如何将你的项目纳入安全管理平台,完成安全审核。

流程概览 

申请加入组织 → 接受邀请 → 添加项目到组织 → 提交项目审核

整个流程分为两个阶段:加入 secure-artifacts 组织提交项目审核

阶段一:申请加入 secure-artifacts 组织

为什么需要加入组织?

所有需要安全审核的项目必须托管在 secure-artifacts GitHub 组织下,以便平台进行统一的安全扫描和管理。

第 1 步:提交加入组织申请

  1. 打开安全管理平台的提交页面
  2. 选择 "申请加入组织" 流程
  3. 填写以下信息:
    • GitHub 用户名或主页链接 - 你的 GitHub 账号用户名(如 your-username)或主页链接(如 https://github.com/your-username
    • Teams 链接 - 你的 Microsoft Teams 联系链接,用于管理员与你沟通
    • 提交者邮箱 - 你的工作邮箱
  4. 点击提交

第 2 步:等待并接受组织邀请

提交申请后,管理员会审核你的信息并通过 GitHub 发送组织邀请。

  • 关注你的 Teams 通知GitHub 通知
  • 收到邀请后,在 GitHub 上接受邀请

如何接受邀请

  1. 登录你的 GitHub 账号
  2. 访问 https://github.com/orgs/secure-artifacts/invitation
  3. 点击 Join 按钮接受邀请

第 3 步:将项目添加到 secure-artifacts 组织

加入组织后,你可以将项目 Fork 或转移到 secure-artifacts 组织下:

方式一:Fork 项目(推荐)

  1. 打开你的项目页面
  2. 点击右上角 Fork 按钮
  3. 在 Owner 下拉菜单中选择 secure-artifacts
  4. 点击 Create fork

方式二:转移项目

  1. 进入项目 Settings
  2. 滚动到底部 Danger Zone
  3. 点击 Transfer repository
  4. 输入目标组织 secure-artifacts

注意

项目转移后原地址会自动重定向,但建议提前通知项目使用者。

阶段二:提交项目审核

项目添加到 secure-artifacts 组织后,即可提交安全审核。

第 4 步:提交项目审核申请

  1. 打开安全管理平台的提交页面
  2. 选择 "提交项目审核" 流程
  3. 填写以下信息:
    • GitHub 项目 URL - 必须以 https://github.com/secure-artifacts/ 开头
    • 项目名称 - 项目的显示名称
    • 项目描述 - 简要描述项目功能和用途
    • Teams 链接 - 你的 Microsoft Teams 联系链接
    • 提交者邮箱 - 你的工作邮箱
  4. 点击提交

重要

项目 URL 必须是 secure-artifacts 组织下的仓库地址,例如:

https://github.com/secure-artifacts/my-project

其他组织或个人仓库的地址将无法通过验证。

第 5 步:等待安全审核

提交后,管理员会对项目进行安全预检和审核:

  1. 预检阶段 - 自动检查项目是否满足基本安全要求,同时自动开启 Secret Scanning 和 Push Protection
  2. 审核阶段 - 管理员进行人工审核,并手动开启 Code Scanning (CodeQL)
  3. 结果通知 - 审核结果会通过 Teams 通知你

安全扫描由管理员统一配置

你不需要自行开启 Code Scanning 或 Secret Scanning。管理员在审核流程中会统一为项目配置这些安全功能。

安全审核要求

在提交项目审核之前,请确保你的项目满足以下要求:

要求说明参考文档
GitHub Actions CI配置自动化构建流程CI 设置
Artifact Attestation为构建产物生成签名证明Attestation 配置
Code Scanning由管理员在审核时开启安全扫描说明
Secret Scanning由管理员在审核时自动开启安全扫描说明

常见问题

Q: 我已经有 secure-artifacts 组织的项目,还需要先申请加入组织吗?

如果你已经是 secure-artifacts 组织的成员,可以直接选择"提交项目审核"流程。

Q: 项目审核需要多长时间?

通常管理员会在 1-3 个工作日内完成审核。如有紧急需求,请通过 Teams 联系管理员。

Q: 审核不通过怎么办?

管理员会通过 Teams 通知你审核不通过的原因和改进建议。修复问题后可以重新提交审核。

Q: 一个人可以提交多个项目吗?

可以。只要项目都在 secure-artifacts 组织下,你可以为每个项目分别提交审核申请。