在组织中应用 GitHub 建议的安全配置

使用由 GitHub 创建、管理和推荐的安全启用设置来保护代码。

谁可以使用此功能?

具有管理员角色的组织所有者、安全管理员和组织成员

本文内容

GitHub-recommended security configuration 是 GitHub 安全功能的启用设置集合,由 GitHub 主题专家创建和维护。 GitHub-recommended security configuration 旨在成功地降低高影响和低影响存储库的安全风险。 我们建议你将此配置应用于组织中的所有存储库。

  1. 在 GitHub 的右上角,选择个人资料照片,然后单击 你的组织”。

  2. 在组织名称下,单击 “设置”****。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”********。

    组织配置文件中选项卡的屏幕截图。 “设置”选项卡以深橙色标出。

  3. 在边栏的“安全性”部分中,选择“代码安全”下拉菜单,然后单击“配置”。

  4. 在组织的配置表的“GitHub 建议”行中,选择“应用于 ”下拉菜单,**** 然后单击“所有存储库”**** 或“所有无配置的存储库”****。

  5. (可选)在“确认”对话框中,可以选择根据其可见性自动将 security configuration 应用到新创建的存储库。 选择 None 下拉菜单,然后单击“公共”或“专用和内部”,或两个选项都单击。

    Note

    组织的默认 security configuration 仅自动应用到组织内新创建的存储库。 如果将存储库传输到组织,则仍需将适当的 security configuration 手动应用到存储库。

  6. 若要应用 security configuration,请单击“应用”。

security configuration 适用于活动存储库和存档存储库,因为某些安全功能在存档存储库上运行,例如 secret scanning。 此外,如果存储库稍后取消存档,则可以确信它受到所选 security configuration 的保护。

  1. 在 GitHub 的右上角,选择个人资料照片,然后单击 你的组织”。

  2. 在组织名称下,单击 “设置”****。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”********。

    组织配置文件中选项卡的屏幕截图。 “设置”选项卡以深橙色标出。

  3. 在边栏的“安全性”部分中,选择“代码安全”下拉菜单,然后单击“配置”。

  4. (可选)在“应用配置”部分中,筛选视图,查找要将 GitHub-recommended security configuration 应用到的存储库。 若要了解如何筛选存储库表,请参阅“使用存储库表筛选组织中的存储库”。

  5. 在存储库表中,使用三种方法之一来选择存储库:

    • 选择要将 security configuration 应用到的单个存储库。
    • 若要在存储库表的当前页面上选择所有存储库,请选择“NUMBER 存储库”。****
    • 选择“NUMBER 存储库”**** 后,若要选择组织中的符合筛选条件的所有存储库,请单击“**** 全选”。

  6. **** 选择“应用配置 ”下拉菜单,然后单击****“GitHub 建议”。

  7. (可选)在“确认”对话框中,可以选择根据其可见性自动将 security configuration 应用到新创建的存储库。 选择 None 下拉菜单,然后单击“公共”或“专用和内部”,或两个选项都单击。

    Note

    组织的默认 security configuration 仅自动应用到组织内新创建的存储库。 如果将存储库传输到组织,则仍需将适当的 security configuration 手动应用到存储库。

  8. 若要应用 security configuration,请单击“应用”。

security configuration 适用于活动存储库和存档存储库,因为某些安全功能在存档存储库上运行,例如 secret scanning。 此外,如果存储库稍后取消存档,则可以确信它受到所选 security configuration 的保护。

  1. 在 GitHub 的右上角,选择个人资料照片,然后单击 你的组织”。

  2. 在组织名称下,单击 “设置”****。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”********。

    组织配置文件中选项卡的屏幕截图。 “设置”选项卡以深橙色标出。

  3. 在边栏的“安全性”部分中,选择“代码安全”下拉菜单,然后单击“配置”。

  4. 在“代码安全配置”部分中,选择“GitHub 建议”。

  5. 在“策略”部分中的“强制实施配置”旁边,从下拉菜单中选择“强制实施”****。

Note

如果组织中的用户尝试使用 REST API 更改强制配置中某个功能的启用状态,则 API 调用将显示为成功,但不会更改任何启用状态。

在某些情况下,可能会中断存储库的 security configurations 强制实施。 例如,在以下情况下,code scanning 的启用将不适用于存储库:

  • GitHub Actions 最初在存储库上启用,但在存储库中禁用。
  • code scanning 配置所需的 GitHub Actions 在存储库中不可用。
  • 不应使用 code scanning 默认设置分析语言的定义已更改。

后续步骤

应用 GitHub-recommended security configuration 后,可以使用 global settings 自定义组织级别的安全设置。 请参阅“配置组织的全局安全设置”。

尝试应用 security configuration 时可能会遇到错误。 有关详细信息,请参阅“查找和修复配置附加失败”和“排查安全配置问题”。