为您的组织配置全局安全设置

通过定义全局设置来自定义组织的高级安全功能,确保一致的安全标准并保护所有仓库。

谁可以使用此功能?

组织所有者、安全管理员以及拥有 admin 角色的组织成员

本文内容

访问组织的全局设置页面

  1. 在 GitHub 右上角,点击您的个人头像,然后点击 组织

  2. 在组织名称下,点击 设置。如果您看不到“设置”选项卡,请选择 下拉菜单,然后点击 设置

    Screenshot of the tabs in an organization's profile. The "Settings" tab is outlined in dark orange.

  3. 在侧边栏的 “Security” 部分,选择 Advanced Security 下拉菜单,然后点击 Global settings

配置全局 Dependabot 设置

您可以自定义多个全局 Dependabot 设置

创建和管理 Dependabot 自动分流规则

您可以创建和管理 Dependabot 自动分流规则,以指示 Dependabot 自动解除或暂缓 Dependabot 警报,甚至打开拉取请求尝试解决它们。要配置 Dependabot 自动分流规则,请点击,然后创建或编辑规则

  • 您可以通过点击 新建规则 来创建新规则,然后输入规则的详细信息并点击 创建规则
  • 您可以通过点击来编辑现有规则,然后进行所需更改并点击 保存规则

有关 Dependabot 自动分流规则的更多信息,请参阅 关于 Dependabot 自动分流规则自定义自动分流规则以优先处理 Dependabot 警报

对 Dependabot 安全更新进行分组

Dependabot 可以将所有自动建议的安全更新合并为单个拉取请求。要启用分组安全更新,请选择 Grouped security updates。有关分组更新及自定义选项的更多信息,请参阅 配置 Dependabot 安全更新

在 GitHub Actions 运行器上启用依赖更新

如果组织中现有仓库同时启用了 Dependabot 和 GitHub Actions,GitHub 将自动使用 GitHub 托管的运行器为这些仓库运行依赖更新。

否则,要允许 Dependabot 使用 GitHub Actions 运行器为组织中所有现有仓库执行依赖更新,请选择 “Dependabot on Actions runners”。

更多信息请参阅 关于 GitHub Actions Runner 上的 Dependabot

配置 Dependabot 使用的运行器类型

您可以配置 Dependabot 使用哪种类型的运行器来扫描版本和安全更新。默认情况下,Dependabot 使用标准 GitHub-hosted runners。您可以将 Dependabot 配置为使用带有自定义标签的 self-hosted runners,从而与现有的运行器基础设施(例如 Actions Runner Controller (ARC))集成。

注意

  • 出于安全原因,Dependabot 对公共仓库始终使用 GitHub 托管的运行器,即使您配置了带标签的运行器也是如此。
  • 标记的运行器 无法工作 于公共仓库。

要配置运行器类型

  1. 在 “Dependabot” 下,靠近 “Runner type”,选择.
  2. 在 “编辑 Dependabot 的运行器类型” 对话框中,选择您希望 Dependabot 使用的运行器类型
    • 标准 GitHub 运行器.
    • 标记的运行器:如果您选择此选项,Dependabot 将使用匹配您指定标签的自托管运行器。
  3. 如果您选择了 标记的运行器
    • 在 “Runner label” 中,输入分配给自托管运行器的标签。Dependabot 将使用具有此标签的运行器。默认情况下使用 dependabot 标签,但您可以指定自定义标签,以匹配您现有的运行器基础设施。
    • 可选地,在 “Runner group name” 中输入运行器组名称,以便将目标限定在特定的运行器组。
  4. 点击 保存运行器选择

有关在自托管运行器上配置 Dependabot 的更多信息,请参阅 在自托管运行器上配置 Dependabot

授予 Dependabot 访问私有仓库的权限

要更新组织中仓库的私有依赖项,Dependabot 需要访问这些仓库。要授予 Dependabot 对所需私有仓库的访问权限,请滚动到 “授予 Dependabot 访问私有仓库” 部分,然后使用搜索栏查找并选择所需的仓库。请注意,授予 Dependabot 对仓库的访问权限意味组织中的所有用户都可以通过 Dependabot 更新访问该仓库的内容。有关私有仓库支持的生态系统的更多信息,请参阅 Dependabot 支持的生态系统和仓库

配置全局代码扫描设置

代码扫描是一项功能,可用于分析 GitHub 仓库中的代码,以查找安全漏洞和代码错误。分析中识别的任何问题都会显示在您的仓库中。

您可以自定义多个全局代码扫描设置

为默认设置推荐扩展查询套件

代码扫描提供特定的 CodeQL 查询组(称为查询套件)来针对您的代码运行。默认情况下运行 “Default” 查询套件。GitHub 还提供 “Extended” 查询套件,其中包含 “Default” 查询套件的所有查询,以及额外的低精度、低严重性查询。要在组织范围内推荐使用 “Extended” 查询套件,请选择 Recommend the extended query suite for repositories enabling default setup。有关 CodeQL 默认设置的内置查询套件的更多信息,请参阅 CodeQL 查询套件

为 CodeQL 启用 Copilot Autofix

您可以选择 Copilot Autofix 为组织中使用 CodeQL 默认设置或 CodeQL 高级设置的所有仓库启用 Copilot Autofix。Copilot Autofix 是代码扫描的扩展,能够为代码扫描警报提供修复建议。欲了解更多信息,请参阅 代码扫描中 Copilot Autofix 的负责任使用

扩展 CodeQL 分析

您可以通过配置 CodeQL 模型包来为组织中使用默认设置的所有仓库扩展 CodeQL 分析覆盖范围。模型包可将 CodeQL 分析扩展至标准 CodeQL 库未包含的其他框架和库。此全局配置适用于使用默认设置的仓库,并允许您指定通过容器注册表发布的模型包。有关详细信息,请参阅 编辑默认设置的配置

配置全局机密扫描设置

机密扫描是一种安全工具,会扫描仓库的整个 Git 历史、以及这些仓库中的议题、拉取请求、讨论和 wiki,以查找意外提交的泄露机密(如令牌或私钥)。

您可以自定义多个全局机密扫描设置

当机密扫描阻止一次提交时,您可以显示一个链接,为开发者提供有关为何被阻止的更多信息。要包含该链接,请选择 Add a resource link in the CLI and the web UI when a commit is blocked。在文本框中输入所需资源的链接,然后点击 Save Link

定义自定义模式

您可以使用正则表达式为机密扫描定义自定义模式。自定义模式可以识别默认模式未能检测到的机密。要创建自定义模式,请点击 New pattern,然后输入模式的详细信息并点击 Save and dry run。有关自定义模式的更多信息,请参阅 为机密扫描定义自定义模式

指定在推送保护中包含的模式

注意

企业和组织层面的推送保护模式配置目前处于公开预览阶段,可能会更改。

您可以自定义哪些机密模式包含在推送保护中,从而让安全团队对组织中仓库阻止的机密类型拥有更大的控制权。

  1. 在 “Additional settings” 中的 “Secret scanning” 部分,位于 “Pattern configurations” 右侧,点击
  2. 在显示的页面中,在 “Organization setting” 列进行所需更改。

您可以通过相关列中的切换开关为单个模式启用或禁用推送保护:“Enterprise setting” 用于企业层面,“Organization setting” 用于组织层面。

数据受范围限制,因此警报量、误报率、绕过率或自定义模式的可用性反映了 企业组织 内的用户/警报活动。

GitHub 的默认设置可能会随时间变化,因为我们会提高精度并提升模式。

注意

组织管理员和安全团队可以覆盖在企业层面配置的设置。

有关如何读取机密扫描模式配置页面数据的更多信息,请参阅 机密扫描模式配置数据

为您的组织创建安全管理员

安全管理员角色授予组织成员管理整个组织的安全设置和警报的能力。安全管理员可以通过安全概览查看组织中所有仓库的数据。

要了解更多有关安全管理员角色的信息,请参阅 在组织中管理安全管理员

要分配安全管理员角色,请参阅 使用组织角色

© . This site is unofficial and not affiliated with GitHub, Inc.