关于 GitHub-recommended security configuration
GitHub-recommended security configuration 是 GitHub 安全功能的启用设置集合,由 GitHub 主题专家创建和维护。 GitHub-recommended security configuration 旨在成功地降低高影响和低影响存储库的安全风险。 我们建议你将此配置应用于组织中的所有存储库。
将 GitHub-recommended security configuration 应用于组织中的所有存储库
-
在 GitHub 的右上角,选择个人资料照片,然后单击 “你的组织”。
-
在组织名称下,单击 “设置”****。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”********。
-
在边栏的“安全性”部分中,选择“代码安全”下拉菜单,然后单击“配置”。
-
在组织的配置表的“GitHub 建议”行中,选择“应用于 ”下拉菜单,**** 然后单击“所有存储库”**** 或“所有无配置的存储库”****。
-
(可选)在“确认”对话框中,可以选择根据其可见性自动将 security configuration 应用到新创建的存储库。 选择 None 下拉菜单,然后单击“公共”或“专用和内部”,或两个选项都单击。
注意: 组织的默认 security configuration 仅自动应用到组织内新创建的存储库。 如果将存储库传输到组织,则仍需将适当的 security configuration 手动应用到存储库。
-
若要应用 security configuration,请单击“应用”。
security configuration 适用于活动存储库和存档存储库,因为某些安全功能在存档存储库上运行,例如 secret scanning。 此外,如果存储库稍后取消存档,则可以确信它受到所选 security configuration 的保护。
将 GitHub-recommended security configuration 应用于组织中的特定存储库
-
在 GitHub 的右上角,选择个人资料照片,然后单击 “你的组织”。
-
在组织名称下,单击 “设置”****。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”********。
-
在边栏的“安全性”部分中,选择“代码安全”下拉菜单,然后单击“配置”。
-
(可选)在“应用配置”部分中,筛选视图,查找要将 GitHub-recommended security configuration 应用到的存储库。 若要了解如何筛选存储库表,请参阅“使用存储库表筛选组织中的存储库”。
-
在存储库表中,使用三种方法之一来选择存储库:
- 选择要将 security configuration 应用到的单个存储库。
- 若要在存储库表的当前页面上选择所有存储库,请选择“NUMBER 存储库”。****
- 选择“NUMBER 存储库”**** 后,若要选择组织中的符合筛选条件的所有存储库,请单击“**** 全选”。
-
**** 选择“应用配置 ”下拉菜单,然后单击****“GitHub 建议”。
-
(可选)在“确认”对话框中,可以选择根据其可见性自动将 security configuration 应用到新创建的存储库。 选择 None 下拉菜单,然后单击“公共”或“专用和内部”,或两个选项都单击。
注意: 组织的默认 security configuration 仅自动应用到组织内新创建的存储库。 如果将存储库传输到组织,则仍需将适当的 security configuration 手动应用到存储库。
-
若要应用 security configuration,请单击“应用”。
security configuration 适用于活动存储库和存档存储库,因为某些安全功能在存档存储库上运行,例如 secret scanning。 此外,如果存储库稍后取消存档,则可以确信它受到所选 security configuration 的保护。
强制实施 GitHub-recommended security configuration
-
在 GitHub 的右上角,选择个人资料照片,然后单击 “你的组织”。
-
在组织名称下,单击 “设置”****。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”********。
-
在边栏的“安全性”部分中,选择“代码安全”下拉菜单,然后单击“配置”。
-
在“代码安全配置”部分中,选择“GitHub 建议”。
-
在“策略”部分中的“强制实施配置”旁边,从下拉菜单中选择“强制实施”****。
Note
如果组织中的用户尝试使用 REST API 更改强制配置中某个功能的启用状态,则 API 调用将显示为成功,但不会更改任何启用状态。
在某些情况下,可能会中断存储库的 security configurations 强制实施。 例如,在以下情况下,code scanning 的启用将不适用于存储库:
- GitHub Actions 最初在存储库上启用,但在存储库中禁用。
- code scanning 配置所需的 GitHub Actions 在存储库中不可用。
- 不应使用 code scanning 默认设置分析语言的定义已更改。
后续步骤
应用 GitHub-recommended security configuration 后,可以使用 global settings 自定义组织级别的安全设置。 请参阅“配置组织的全局安全设置”。
尝试应用 security configuration 时可能会遇到错误。 有关详细信息,请参阅“Finding and fixing configuration attachment failures”和“排查安全配置问题”。