关于自定义安全配置
使用自定义安全配置,您可以为 GitHub 的安全产品创建启用设置的集合,以满足组织的特定安全需求。例如,您可以为每个组织或组织组创建不同的自定义安全配置,以反映其独特的安全要求和合规义务。
您还可以选择是否在配置中包含 GitHub 代码安全或 GitHub 机密保护功能。
如果选择包含,请注意这些功能在私有和内部仓库中使用时会产生使用费用(或需要 GitHub 高级安全许可证)。欲了解更多信息,请参阅 关于 GitHub 高级安全。
重要提示
某些设置的顺序和名称会根据您使用的是原始 GitHub 高级安全产品的许可证,还是两个新产品(GitHub 代码安全和 GitHub 机密保护)的许可证而有所不同。请参阅 创建 GitHub 高级安全配置 或 创建机密保护和代码安全配置。
创建机密保护和代码安全配置
-
在 GitHub 右上角,点击您的个人头像,然后点击 组织。
-
在您的组织名称下,点击 设置。如果看不到 “设置” 选项卡,请选择 下拉菜单,然后点击 设置。
-
在侧边栏的 “安全” 部分,选择 高级安全 下拉菜单,然后点击 配置。
-
在 “安全配置” 部分,点击 “新建配置”。
-
要为您的仓库配置一组安全功能,请点击 “自定义配置”。
-
为帮助识别您的自定义安全配置并在 “安全配置” 页面上阐明其目的,请为配置命名并添加描述。
-
可选地,启用 “机密保护”,这是一项面向私有仓库的付费功能。启用机密保护后,将启用机密扫描警报。此外,您可以选择对以下机密扫描功能进行启用、禁用或保留现有设置。
- 有效性检查。了解合作伙伴模式的有效性检查,请参阅 评估来自机密扫描的警报。
- 扩展元数据。了解扩展元数据检查,请参阅 关于扩展元数据检查 和 评估来自机密扫描的警报。
注意
只有在启用有效性检查时,才可以启用扩展元数据检查。
- 非提供商模式。了解非提供商模式的扫描,请参阅 支持的机密扫描模式 和 查看和过滤机密扫描警报。
- 扫描通用密码。了解详情,请参阅 使用 Copilot 机密扫描负责任地检测通用机密。
- 推送保护。了解推送保护,请参阅 关于推送保护。
- 绕过权限。通过分配绕过权限或豁免,选定的参与者可以绕过或跳过推送保护。其他贡献者需经过审查和批准流程。见 关于推送保护的委派绕过。
- 防止直接关闭警报。了解更多,请参阅 启用机密扫描的委派警报关闭。
-
可选地,启用 “代码安全”,这是一项面向私有仓库的付费功能。您可以选择对以下代码扫描功能进行启用、禁用或保留现有设置。
- 默认设置。了解默认设置,请参阅 为代码扫描配置默认设置。
注意
要创建一个可以应用于所有仓库的配置,而不受当前代码扫描设置的影响,请选择 “已启用并允许高级设置”。此设置仅在未主动运行 CodeQL 分析的仓库中启用默认设置。此选项自 GitHub Enterprise Server 3.19 起可用。
- 运行器类型。如果您想针对特定的运行器进行代码扫描,可以在此步骤选择使用自定义标签的运行器。见 为代码扫描配置默认设置。
- 防止直接关闭警报。了解更多,请参阅 启用代码扫描的委派警报关闭。
- 默认设置。了解默认设置,请参阅 为代码扫描配置默认设置。
-
仍在 “代码安全” 下的 “依赖扫描” 表中,选择是否对以下依赖扫描功能进行启用、禁用或保留现有设置。
- 依赖关系图。了解依赖关系图,请参阅 关于依赖关系图。
提示
当 “代码安全” 与依赖关系图 均已启用时,将启用依赖审查,见 关于依赖审查。
- 自动依赖提交。了解自动依赖提交,请参阅 为您的仓库配置自动依赖提交。
- Dependabot 警报。了解 Dependabot,请参阅 关于 Dependabot 警报。
- 安全更新。了解安全更新,请参阅 关于 Dependabot 安全更新。
- 防止直接关闭警报。了解更多,请参阅 启用 Dependabot 的委派警报关闭。
- 恶意软件警报。了解更多,请参阅 Dependabot 恶意软件警报。
- 依赖关系图。了解依赖关系图,请参阅 关于依赖关系图。
-
对于 “私有漏洞报告”,请选择是否启用、禁用或保留现有设置。了解私有漏洞报告,请参阅 为仓库配置私有漏洞报告。
-
可选地,在 “策略” 部分,您可以使用其他选项来控制配置的应用方式。
-
用作新建仓库的默认配置。在 None 下拉菜单中选择,然后点击 Public、Private and internal 或 All repositories。从下拉菜单中选择 Enforce。
注意
组织的默认安全配置仅会自动应用于在组织中创建的新仓库。如果仓库被转入您的组织,仍需手动为该仓库应用适当的安全配置。
-
强制执行配置。阻止仓库所有者更改由配置启用或禁用的功能(未设置的功能不受强制)。从下拉菜单中选择 Enforce。
注意
某些情况可能导致安全配置的强制执行失效。请参阅 安全配置强制执行。
-
-
要完成自定义安全配置的创建,请点击 Save configuration(保存配置)。
创建 GitHub 高级安全配置
-
在 GitHub 右上角,点击您的个人头像,然后点击 组织。
-
在您的组织名称下,点击 设置。如果看不到 “设置” 选项卡,请选择 下拉菜单,然后点击 设置。
-
在侧边栏的 “安全” 部分,选择 高级安全 下拉菜单,然后点击 配置。
-
在 “安全配置” 部分,点击 “新建配置”。
-
为帮助识别您的自定义安全配置并在 “新建配置” 页面上阐明其目的,请为配置命名并添加描述。
-
在 “GitHub 高级安全功能” 行中,选择是否包含或排除 GitHub 高级安全(GHAS)功能。
-
在 “机密扫描” 表中,选择是否对以下安全功能进行启用、禁用或保留现有设置。
- 有效性检查。了解合作伙伴模式的有效性检查,请参阅 评估来自机密扫描的警报。
- 非提供商模式。了解非提供商模式的扫描,请参阅 支持的机密扫描模式 和 查看和过滤机密扫描警报。
- 扫描通用密码。了解详情,请参阅 使用 Copilot 机密扫描负责任地检测通用机密。
- 推送保护。了解推送保护,请参阅 关于推送保护。
- 绕过权限。通过分配绕过权限或豁免,选定的参与者可以绕过或跳过推送保护。其他贡献者需经过审查和批准流程。见 关于推送保护的委派绕过。
- 防止直接关闭警报。了解更多,请参阅 启用机密扫描的委派警报关闭。
-
在 “代码扫描” 表中,选择是否对代码扫描默认设置进行启用、禁用或保留现有设置。
- 默认设置。了解默认设置,请参阅 为代码扫描配置默认设置。
注意
要创建一个可以应用于所有仓库的配置,而不受当前代码扫描设置的影响,请选择 “已启用并允许高级设置”。此设置仅在未主动运行 CodeQL 分析的仓库中启用默认设置。此选项自 GitHub Enterprise Server 3.19 起可用。
- 运行器类型。如果您想针对特定的运行器进行代码扫描,可以在此步骤选择使用自定义标签的运行器。见 为代码扫描配置默认设置。
- 防止直接关闭警报。了解更多,请参阅 启用代码扫描的委派警报关闭。
- 默认设置。了解默认设置,请参阅 为代码扫描配置默认设置。
-
在 “依赖扫描” 表中,选择是否对以下依赖扫描功能进行启用、禁用或保留现有设置。
- 依赖关系图。了解依赖关系图,请参阅 关于依赖关系图。
提示
当 “GitHub 高级安全” 与依赖关系图 均已启用时,将启用依赖审查,见 关于依赖审查。
- 自动依赖提交。了解自动依赖提交,请参阅 为您的仓库配置自动依赖提交。
- Dependabot 警报。了解 Dependabot,请参阅 关于 Dependabot 警报。
- 安全更新。了解安全更新,请参阅 关于 Dependabot 安全更新。
- 防止直接关闭警报。了解更多,请参阅 启用 Dependabot 的委派警报关闭。
- 恶意软件警报。了解更多,请参阅 Dependabot 恶意软件警报。
- 依赖关系图。了解依赖关系图,请参阅 关于依赖关系图。
-
对于 “私有漏洞报告”,请选择是否启用、禁用或保留现有设置。了解私有漏洞报告,请参阅 为仓库配置私有漏洞报告。
-
可选地,在 “策略” 部分,您可以使用其他选项来控制配置的应用方式。
- 用作新建仓库的默认配置。在 None 下拉菜单中选择,然后点击 Public、Private and internal 或 All repositories。从下拉菜单中选择 Enforce。
注意
组织的默认安全配置仅会自动应用于在组织中创建的新仓库。如果仓库被转入您的组织,仍需手动为该仓库应用适当的安全配置。
- 强制执行配置。阻止仓库所有者更改由配置启用或禁用的功能(未设置的功能不受强制)。从下拉菜单中选择 Enforce。
- 用作新建仓库的默认配置。在 None 下拉菜单中选择,然后点击 Public、Private and internal 或 All repositories。从下拉菜单中选择 Enforce。
-
要完成自定义安全配置的创建,请点击 Save configuration(保存配置)。
后续步骤
要将自定义安全配置应用到组织中的仓库,请参阅 应用自定义安全配置。
了解如何编辑自定义安全配置,请参阅 编辑自定义安全配置。