关于自定义安全配置
我们建议您使用 GitHub 推荐的安全配置来保护您的组织,然后在配置自定义安全配置之前评估代码库的安全发现。有关详细信息,请参阅“在您的组织中应用 GitHub 推荐的安全配置”。
使用自定义安全配置,您可以创建 GitHub 安全产品的启用设置集合,以满足组织的特定安全需求。例如,您可以为每组代码库创建不同的自定义安全配置,以反映其不同的可见性级别、风险承受能力和影响。
创建自定义安全配置
注意
某些安全功能的启用状态取决于其他更高级别的安全功能。例如,禁用依赖关系图也会禁用 Dependabot、漏洞暴露分析和安全更新。对于安全配置,相关的安全功能将使用缩进和.
-
在 GitHub 的右上角,选择您的个人资料照片,然后单击 您的组织.
-
在您的组织名称下,单击 **设置**。如果您看不到“设置”选项卡,请选择****下拉菜单,然后单击**设置**。
-
在侧边栏的“安全”部分,选择**代码安全**下拉菜单,然后单击**配置**。
-
在“代码安全配置”部分,单击**新建配置**。
-
为了帮助识别您的自定义安全配置并阐明其在“代码安全配置”页面上的用途,请为您的配置命名并创建描述。
-
在“GitHub 高级安全功能”行中,选择是包含还是排除 GitHub 高级安全 (GHAS) 功能。如果您计划将包含 GHAS 功能的自定义安全配置应用于私有代码库,则必须为这些代码库的每个活动唯一提交者提供可用的 GHAS 许可证,否则功能将不会启用。请参阅“关于 GitHub 高级安全的计费”。
-
在安全设置表中的“依赖关系图”部分,选择是要启用、禁用还是保留以下安全功能的现有设置
-
依赖关系图。要了解有关依赖关系图的信息,请参阅“关于依赖关系图”。
-
自动提交依赖关系。要了解有关自动提交依赖关系的信息,请参阅“为您的代码库配置自动提交依赖关系”。
-
Dependabot。要了解有关 Dependabot 的信息,请参阅“关于 Dependabot 警报”。
-
安全更新。要了解有关安全更新的信息,请参阅“关于 Dependabot 安全更新”。
注意
您无法手动更改易受攻击的功能调用的启用设置。如果启用了 GitHub 高级安全功能和 Dependabot 警报,则也会启用易受攻击的功能调用。否则,它将被禁用。
-
-
在安全设置表中的“代码扫描”部分,选择是要启用、禁用还是保留代码扫描默认设置的现有设置。要了解有关默认设置的信息,请参阅“配置代码扫描的默认设置”。
-
在安全设置表中的“密钥扫描”部分,选择是要启用、禁用还是保留以下安全功能的现有设置
-
在安全设置表中的“私有漏洞报告”部分,选择是要启用、禁用还是保留私有漏洞报告的现有设置。要了解有关私有漏洞报告的信息,请参阅“为代码库配置私有漏洞报告”。
-
可选地,在“策略”部分,您可以根据代码库的可见性选择自动将安全配置应用于新创建的代码库。选择**无**下拉菜单,然后单击**公共**或**私有和内部**,或两者。
注意
组织的默认安全配置仅自动应用于在您的组织中创建的新代码库。如果代码库被转移到您的组织,您仍然需要手动将适当的安全配置应用于该代码库。
-
可选地,在“策略”部分,您可以强制执行配置并阻止代码库所有者更改配置启用的或禁用的功能(未设置的功能不会被强制执行)。在“强制执行配置”旁边,从下拉菜单中选择**强制执行**。
注意
如果您的组织中的用户尝试使用 REST API 更改强制执行配置中功能的启用状态,则 API 调用将显示为成功,但不会更改任何启用状态。
某些情况可能会中断存储库安全配置的实施。例如,如果满足以下条件,则代码扫描的启用将不适用于存储库。
- GitHub Actions 最初在存储库中启用,但随后在存储库中禁用。
- 代码扫描配置所需的 GitHub Actions 在存储库中不可用。
- 更改了不应使用代码扫描默认设置分析的语言的定义。
-
要完成自定义安全配置的创建,请点击保存配置。
后续步骤
要将自定义安全配置应用于组织中的存储库,请参阅“应用自定义安全配置”。
要了解如何编辑自定义安全配置,请参阅“编辑自定义安全配置”。