简介
本指南向您展示如何配置一个组织的安全功能。 组织的安全需求是独一无二的,您可能不需要启用每个安全功能。 有关详细信息,请参阅“GitHub 安全功能”。
某些功能可用于 所有计划中的存储库。 使用 GitHub Advanced Security 的企业可以使用其他功能。 GitHub Advanced Security 功能也针对 GitHub.com 上的所有公共存储库启用。 有关详细信息,请参阅“关于 GitHub 高级安全性”。
管理对组织的访问
您可以使用角色来控制用户可以在组织中执行的操作。 例如,可将安全管理员角色分配给团队,以便他们能够管理整个组织的安全设置,以及拥有对所有存储库的读取访问权限。 有关详细信息,请参阅“组织中的角色”。
创建默认安全策略
您可以创建默认安全策略,该策略将显示在组织中任何没有自己的安全策略的公共仓库中。 有关详细信息,请参阅“创建默认的社区运行状况文件”。
管理 Dependabot alerts 和依赖关系图
GitHub 检测公共存储库中的漏洞并显示依赖关系图。 您可以为组织拥有的所有公共仓库启用或禁用 Dependabot alerts。 您可以为组织拥有的所有私有仓库启用或禁用 Dependabot alerts 和依赖关系图。
- 单击你的个人资料照片,然后单击“组织”。
- 单击组织旁边的“设置”。
- 单击“安全性和分析”。
- 单击你要管理的功能旁边的“全部启用”或“全部禁用” 。
- (可选)选择“自动对新存储库启用”。
有关详细信息,请参阅“关于 Dependabot 警报”、“探索仓库的依赖项”和“管理组织的安全和分析设置”。
管理依赖项审查
依赖项评审是一项 Advanced Security 功能,可让您在将拉取请求合并到存储库之前可视化拉取请求中的依赖项更改。 有关详细信息,请参阅“关于依赖项评审”。
已为所有公共存储库启用了依赖项审查。 将 GitHub Enterprise Cloud 与 Advanced Security 一起使用的组织还可以对私有和内部存储库启用依赖项审查。 有关详细信息,请参阅 GitHub Enterprise Cloud 文档。
管理 Dependabot security updates
对于任何使用 Dependabot alerts 的仓库,您可以启用 Dependabot security updates 在检测到漏洞时提出带有安全更新的拉取请求。 您也可以为组织的所有仓库启用或禁用 Dependabot security updates。
- 单击你的个人资料照片,然后单击“组织”。
- 单击组织旁边的“设置”。
- 单击“安全性和分析”。
- 单击 Dependabot security updates 旁边的“全部启用”或“全部禁用” 。
- (可选)选择“自动对新存储库启用”。
有关详细信息,请参阅“关于 Dependabot 安全更新”和“管理组织的安全和分析设置”。
管理 Dependabot version updates
您可以让 Dependabot 自动提出拉取请求以保持依赖项的更新。 有关详细信息,请参阅“关于 Dependabot 版本更新”。
要启用 Dependabot version updates,必须创建 dependabot.yml 配置文件。 有关详细信息,请参阅“配置 Dependabot 版本更新”。
配置 secret scanning
Secret scanning 可用于所有公共存储库。 将 GitHub Enterprise Cloud 与 Advanced Security 结合使用的组织还可以为专用存储库和内部存储库启用 secret scanning。 有关详细信息,请参阅 GitHub Enterprise Cloud 文档。
如果您的企业使用 Advanced Security,则
您可以为组织中所有 公共 存储库启用或禁用 secret scanning。
- 单击你的个人资料照片,然后单击“组织”。
- 单击组织旁边的“设置”。
- 单击“代码安全和分析”。
- 单击 Secret scanning 旁边的“全部启用”或“全部禁用” 。
- 在显示的对话框中,可根据需要选择“为新的公共存储库启动启用”。
- 单击对话框中的“启用”或“禁用”按钮来确认更改。
有关详细信息,请参阅“管理组织的安全和分析设置”。
配置 code scanning
Code scanning 可用于所有公共存储库。 将 GitHub Enterprise Cloud 与 Advanced Security 一起使用的组织还可以将 code scanning 用于专用和内部存储库。
对于所有符合条件的存储库,可启用或禁用 code scanning 默认设置,在整个组织中公开。 有关符合条件的存储库的详细信息,请参阅“使用 CodeQL 大规模配置代码扫描”。
对于不符合默认设置条件的存储库,可在存储库级别配置高级设置。 有关详细信息,请参阅“为存储库配置代码扫描”。
注意:为组织中符合条件的存储库启用和禁用 code scanning 默认设置的功能目前为 beta 版本,随时可能发生更改。 在 beta 版本期间,如果为所有存储库禁用 CodeQL code scanning,则此更改将不会反映在组织的安全概述中显示的覆盖范围信息中。 存储库在此视图中仍将显示为已启用 code scanning。
- 单击你的个人资料照片,然后单击“组织”。
- 单击组织旁边的“设置”。
- 单击“代码安全和分析”。
- 单击 Code scanning 旁边的“全部启用”或“全部禁用”。
- 在显示的“为符合条件的存储库启用 code scanning”或“禁用 code scanning”对话框,单击“为符合条件的存储库启用”或“禁用 code scanning”来确认更改。
后续步骤
您可以查看和管理来自安全功能的警报,以解决代码中的依赖项和漏洞。 有关详细信息,请参阅 “查看和更新 Dependabot 警报”、 “管理依赖项更新的所有拉取请求”、“管理存储库的代码扫描警报”和“管理来自机密扫描的警报”。
还可以监视对组织内安全警报的响应。 有关详细信息,请参阅“审核安全警报”。
如果您存在安全漏洞,您可以创建安全通告,以私下讨论和修复该漏洞。 有关详细信息,请参阅“关于存储库安全公告”和“创建存储库安全公告”。
使用 GitHub Enterprise Cloud 的组织可在安全概述中查看、筛选他们的组织拥有的存储库的安全警报,并对这些警报进行排序。 有关详细信息,请参阅GitHub Enterprise Cloud 文档中的“关于安全性概述”。