Skip to main content

配置组织的全局安全设置

自定义 GitHub Advanced Security 功能,并创建安全管理员来增强组织的安全性。

谁可以使用此功能?

具有管理员角色的组织所有者、安全管理员和组织成员

关于 global settings

除了决定存储库级别安全设置的 security configurations 之外,还应为组织配置 global settings。 Global settings 应用于整个组织,而且可以根据你的需求自定义 GitHub Advanced Security 功能。 还可在 global settings 页面上创建安全管理员,以便监视和维护组织的安全性。

访问组织的 global settings 页面

  1. 在 GitHub 的右上角,选择个人资料照片,然后单击 你的组织”。

  2. 在组织名称下,单击 “设置”****。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”********。

    组织配置文件中选项卡的屏幕截图。 “设置”选项卡以深橙色标出。

  3. 在边栏的“安全”部分中,选择****“代码安全”下拉菜单,然后单击 Global settings

配置全局的 Dependabot 设置

Dependabot 由三种不同的功能组成,可帮助你管理依赖项:

  • Dependabot alerts - 就存储库中使用的依赖项中的漏洞问题通知你。
  • Dependabot security updates - 自动引发拉取请求,以更新你使用的具有已知安全漏洞的依赖项。
  • Dependabot version updates - 自动引发拉取请求以使依赖项保持最新。

你可为 Dependabot 自定义多个 global settings:

创建和管理 Dependabot 自动分类规则

你可以创建和管理 Dependabot 自动分类规则,以指示 Dependabot 自动关闭或推迟 Dependabot alerts,甚至打开拉取请求以尝试解析它们。 若要配置 Dependabot 自动分类规则,请单击 rules" %},然后创建或编辑规则:

  • 可以单击“新建规则”,然后输入规则的详细信息,并单击“创建规则”,从而创建新的规则。
  • 可以单击 ,然后进行所需的更改并单击“保存规则”****,从而编辑现有规则。

有关 Dependabot 自动分类规则 的详细信息,请参阅“关于 Dependabot 自动分类规则”和“自定义自动分类规则以确定 Dependabot 警报的优先级”。

对 Dependabot security updates

进行分组

Dependabot 可将所有自动建议的安全更新分组到单个拉取请求,以减少干扰。 若要启用分组的安全更新,请选择“分组的安全更新****”。 有关分组的更新和自定义选项的详细信息,请参阅“配置 Dependabot 安全更新”。

启用 GitHub Actions 运行器上的依赖项更新

如果为组织中的现有存储库启用了 Dependabot 和 GitHub Actions,GitHub 将自动使用 GitHub 托管的运行器来运行这些存储库的依赖项更新。

否则,为了允许 Dependabot 使用 GitHub Actions 运行器对组织中的所有现有存储库执行依赖项更新,请选择“Actions 运行器上的 Dependabot”。

有关详细信息,请参阅“关于 GitHub Actions 运行器上的 Dependabot”。

要更好地控制 Dependabot 对私人注册表和内部网络资源的访问,可将 Dependabot 配置为在 GitHub Actions 自托管运行器上运行。 有关详细信息,请参阅“关于 GitHub Actions 运行器上的 Dependabot”和“在自托管运行器上管理 Dependabot”。

允许 Dependabot 访问专用

和内部 存储库

为了更新组织中的存储库的私有依赖项,Dependabot 需要对这些存储库的访问权限。 若要为 Dependabot 授予对所需专用 或内部 存储库的访问权限,请向下滚动到“授予 Dependabot 对专用存储库的访问权限”部分,然后使用搜索栏查找和选择所需的存储库。 请注意,向 Dependabot 授予对存储库的访问权限,意味着组织中的所有用户都可以通过 Dependabot updates 访问该存储库的内容。 有关受支持的专用存储库生态系统的详细信息,请参阅“Dependabot 支持的生态系统和存储库”。

配置全局 code scanning 设置

Code scanning 是一项功能,可用于分析 GitHub 仓库中的代码,以查找安全漏洞和编码错误。 分析标识的任何问题都显示在存储库中。

可以为 code scanning 自定义多个 global settings:

建议将扩展查询套件用于默认设置

Code scanning 提供几组特定的 CodeQL 查询,称为 CodeQL 查询套件,可以针对代码运行。 默认情况下,会运行“默认”查询套件。 GitHub 还提供“扩展”查询套件,其中包含“默认”查询套件中的所有查询,另外还有精度和严重性较低的其他查询。 若要在整个组织中建议使用“扩展”查询套件,请选择“建议将扩展查询套件用于启用默认设置的存储库”****。 关于 CodeQL 默认设置的内置查询套件的详细信息,请参阅“CodeQL 查询套件”。

启用 Copilot Autofix for CodeQL

可以选择 Copilot Autofix,为组织中所有使用 CodeQL 默认设置或 CodeQL 高级设置的存储库启用 Copilot Autofix。 Copilot Autofix 是 code scanning 的扩展功能,可为 code scanning 警报建议修复。 有关详细信息,请参阅“负责使用 Copilot Autofix 进行代码扫描”。

为第三方 code scanning 工具启用 Copilot Autofix

Note

第三方 code scanning 工具支持为 公共预览版,可能随时更改。 目前,支持第三方工具 ESLint。 有关详细信息,请参阅“负责使用 Copilot Autofix 进行代码扫描”。

对于第三方工具,可以选择“第三方工具的 Copilot Autofix”来为组织中使用第三方工具的所有存储库启用 Copilot Autofix。 Copilot Autofix 是 code scanning 的扩展功能,可为 code scanning 警报建议修复。

设置拉取请求中的 code scanning 检查的故障阈值

可以选择运行 code scanning 检查时拉取请求失败的严重性级别。 若要选择安全严重性级别,请选择****“安全:安全-严重性-级别”下拉菜单,然后单击安全严重级别。 若要选择警报严重性级别,请选择****“其他:警报-严重性-级别”下拉菜单,然后单击警报严重性级别。 有关详细信息,请参阅“关于代码扫描警报”。

配置全局 secret scanning 设置

Secret scanning 是一款安全工具,可扫描存储库的全部 Git 历史记录,以及存储库中存在的问题、拉取请求和讨论,以找出意外提交的泄露密码,例如令牌或私钥。

可以为 secret scanning 自定义多个 global settings:

使用 Copilot 机密扫描

进行 通用机密检测

Copilot 机密扫描 的 通用机密检测 是 AI 支持的 secret scanning 扩展,可扫描并为非结构化机密(例如密码)创建警报。 若要启用这些扫描,请选择“扫描通用机密”。 请注意,通用机密的误报率通常高于其他类型的警报。 若要详细了解通用机密,请参阅“使用 Copilot 机密扫描负责任地检测通用机密”。

Note

无需订阅 GitHub Copilot 即可使用 Copilot 机密扫描 的 通用机密检测。 Copilot 机密扫描 功能可用于启用了 GitHub Advanced Security 的 GitHub Enterprise Cloud 企业中的专用存储库。

若要在 secret scanning 阻止提交时为开发人员提供上下文,你可以显示一个链接,包含有关提交被阻止的原因的详细信息。 若要包含链接,请选择“在阻止提交时在 CLI 和 Web UI 中添加资源链接”。 在文本框中,键入指向所需资源的链接,然后单击“保存”

定义自定义模式

你可以使用正则表达式为 secret scanning 定义自定义模式。 自定义模式可以识别 secret scanning 支持的默认模式未检测到的机密。 若要创建自定义模式,请单击“新建模式”,然后输入模式的详细信息,然后单击“保存和试运行”。 有关自定义模式的详细信息,请参阅“为机密扫描定义自定义模式”。

为组织创建安全管理员

安全管理员角色授予组织成员管理整个组织的安全设置和警报的权限。 若要向团队中的所有成员授予安全管理员角色,请在“搜索团队”文本框中,键入所需团队的名称。 在显示的下拉菜单中,单击团队,然后单击“我了解,授予安全管理员权限”****。

安全管理员可以通过安全概览,查看组织中所有存储库的数据。 若要了解有关安全管理员角色的详细信息,请参阅“管理组织中的安全管理员”。