为您的组织配置全局安全设置

自定义 GitHub 高级安全功能并创建安全管理员以加强组织的安全性。

谁可以使用此功能?

组织所有者、安全管理员以及具有 **管理员** 角色的组织成员

本文内容

关于全局设置

除了确定存储库级安全设置的安全配置外,您还应该为您的组织配置全局设置。全局设置适用于您的整个组织,并且可以根据您的需求自定义 GitHub 高级安全功能。您还可以在全局设置页面上创建安全管理员来监视和维护组织的安全。

访问组织的全局设置页面

  1. 在 GitHub 的右上角,选择您的个人资料照片,然后单击 您的组织.

  2. 在您的组织名称下,单击 **设置**。如果您看不到“设置”选项卡,请选择****下拉菜单,然后单击**设置**。

    Screenshot of the tabs in an organization's profile. The "Settings" tab is outlined in dark orange.

  3. 在侧边栏的“安全”部分,选择**代码安全**下拉菜单,然后单击**全局设置**。

配置全局 Dependabot 设置

Dependabot 包含三个不同的功能,可帮助您管理依赖项

  • Dependabot 警报 - 通知您在存储库中使用的依赖项中的漏洞。
  • Dependabot 安全更新 - 自动发出拉取请求以更新您使用的具有已知安全漏洞的依赖项。
  • Dependabot 版本更新 - 自动发出拉取请求以使您的依赖项保持最新。

您可以为 Dependabot 自定义多个全局设置

创建和管理 Dependabot 自动分类规则

您可以创建和管理 Dependabot 自动分类规则,以指示 Dependabot 自动驳回或暂停 Dependabot 警报,甚至打开拉取请求以尝试解决这些警报。要配置 Dependabot 自动分类规则,请点击规则" %}, 然后创建或编辑规则

  • 您可以通过点击**新建规则**创建新规则,然后输入规则的详细信息并点击**创建规则**。
  • 您可以通过点击,然后进行所需的更改并点击**保存规则**来编辑现有规则。

有关 Dependabot 自动分类规则的更多信息,请参阅“关于 Dependabot 自动分类规则”和“自定义自动分类规则以优先处理 Dependabot 警报”。

Dependabot 安全更新分组

Dependabot 可以将所有自动建议的安全更新分组到单个拉取请求中,以减少噪音。要启用分组安全更新,请选择**分组安全更新**。有关分组更新和自定义选项的更多信息,请参阅“配置 Dependabot 安全更新”。

在 GitHub Actions 运行器上启用依赖项更新

如果您的组织中现有存储库同时启用了 Dependabot 和 GitHub Actions,GitHub 将自动使用 GitHub 托管的运行器为这些存储库运行依赖项更新。

否则,要允许 Dependabot 使用 GitHub Actions 运行器为组织中的所有现有存储库执行依赖项更新,请选择“Actions 运行器上的 Dependabot”。

有关更多信息,请参阅“关于 GitHub Actions 运行器上的 Dependabot”。

要更好地控制 Dependabot 访问您的私有注册表和内部网络资源,您可以将 Dependabot 配置为在 GitHub Actions 自托管运行器上运行。有关更多信息,请参阅“关于 GitHub Actions 运行器上的 Dependabot”和“管理自托管运行器上的 Dependabot”。

授予 Dependabot 访问私有存储库的权限

要更新组织中存储库的私有依赖项,Dependabot 需要访问这些存储库。要授予 Dependabot 访问所需私有存储库的权限,请向下滚动到“授予 Dependabot 访问私有存储库”部分,然后使用搜索栏查找并选择所需的存储库。请注意,授予 Dependabot 访问存储库的权限意味着组织中的所有用户都可以通过 Dependabot 更新访问该存储库的内容。有关私有存储库支持的生态系统的更多信息,请参阅“Dependabot 支持的生态系统和存储库”。

配置全局代码扫描设置

代码扫描是一项功能,您可以使用它来分析 GitHub 存储库中的代码,以查找安全漏洞和编码错误。分析中发现的任何问题都将显示在您的存储库中。

您可以为代码扫描自定义多个全局设置

推荐扩展查询套件用于默认设置

代码扫描提供特定组的 CodeQL 查询(称为 CodeQL 查询套件)以针对您的代码运行。默认情况下,将运行“默认”查询套件。GitHub 还提供“扩展”查询套件,其中包含“默认”查询套件中的所有查询,以及精度和严重性较低的其他查询。要建议在整个组织中使用“扩展”查询套件,请选择**为启用默认设置的存储库推荐扩展查询套件**。有关 CodeQL 默认设置的内置查询套件的更多信息,请参阅“CodeQL 查询套件”。

为 CodeQL 启用 Copilot 自动修复

您可以选择**Copilot 自动修复**以对组织中所有使用 CodeQL 默认设置或 CodeQL 高级设置的存储库启用 Copilot 自动修复。Copilot 自动修复是代码扫描的扩展,它建议修复代码扫描警报。有关更多信息,请参阅“代码扫描的 Copilot 自动修复的负责任使用”。

为第三方代码扫描工具启用 Copilot 自动修复

注意

第三方代码扫描工具支持处于公开预览阶段,可能会发生变化。目前,支持第三方工具 ESLint。有关更多信息,请参阅“代码扫描的 Copilot 自动修复的负责任使用”。

您可以选择**第三方工具的 Copilot 自动修复**以对组织中所有使用第三方工具的存储库启用 Copilot 自动修复。Copilot 自动修复是代码扫描的扩展,它建议修复代码扫描警报。

设置拉取请求中代码扫描检查的失败阈值

您可以选择代码扫描检查在拉取请求上运行时失败的严重级别。要选择安全严重级别,请选择**安全:安全严重级别**下拉菜单,然后点击安全严重级别。要选择警报严重级别,请选择**其他:警报严重级别**下拉菜单,然后点击警报严重级别。有关更多信息,请参阅“关于代码扫描警报”。

配置全局密钥扫描设置

密钥扫描是一种安全工具,它扫描存储库的整个 Git 历史记录,以及这些存储库中的问题、拉取请求、讨论和 Wiki,以查找意外提交的泄露密钥,例如令牌或私钥。

您可以为密钥扫描自定义多个全局设置

为了在密钥扫描阻止提交时为开发人员提供上下文,您可以显示一个包含更多信息(说明为何阻止提交)的链接。要包含链接,请选择**在 CLI 和 Web UI 中添加资源链接(当提交被阻止时)**。在文本框中,键入所需资源的链接,然后点击**保存**。

为您的组织创建安全管理员

安全管理员角色授予组织成员在整个组织中管理安全设置和警报的能力。要授予团队的所有成员安全管理员角色,请在“搜索团队”文本框中键入所需团队的名称。在出现的下拉菜单中,点击该团队,然后点击**我理解,授予安全管理员权限**。

安全管理员可以通过安全概述查看组织中所有存储库的数据。要了解有关安全管理员角色的更多信息,请参阅“在您的组织中管理安全管理员”。