Skip to main content

管理存储库的安全和分析设置

你可以控制功能以保护 GitHub 上项目的安全并分析其中的代码。

谁可以使用此功能?

People with admin permissions to a repository can manage security and analysis settings for the repository.

注意:在企业级启用或禁用 Dependabot alerts 时,它将替代 Dependabot alerts 的存储库级别设置。 有关详细信息,请参阅“配置 Dependabot 警报”。

为公共仓库启用或禁用安全和分析功能

你可以管理公共仓库的一部分安全和分析功能。 其他功能已永久启用,其中包括依赖项关系图和 合作伙伴的机密扫描警报。

  1. 在 GitHub.com 上,导航到存储库的主页。

  2. 在存储库名称下,单击 “设置”。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”********。

    存储库标头的屏幕截图,其中显示了选项卡。 “设置”选项卡以深橙色边框突出显示。

  3. 在边栏的“安全性”部分中,单击“ 代码安全性和分析”。

  4. 在“代码安全和分析”下,单击该功能右侧的“禁用”或“启用” 。

为专用存储库启用或禁用安全和分析功能

你可以管理私有或内部 仓库的安全性和分析功能。 如果你的组织属于拥有 GitHub Advanced Security 许可证的企业,则额外选项可用。 有关详细信息,请参阅“关于 GitHub 高级安全性”。

如果启用了安全和分析功能,GitHub 将对存储库执行只读分析。

  1. 在 GitHub.com 上,导航到存储库的主页。

  2. 在存储库名称下,单击 “设置”。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”********。

    存储库标头的屏幕截图,其中显示了选项卡。 “设置”选项卡以深橙色边框突出显示。

  3. 在边栏的“安全性”部分中,单击“ 代码安全性和分析”。

  4. 在“代码安全和分析”下,单击该功能右侧的“禁用”或“启用” 。 “GitHub Advanced Security”的控制被禁用(如果你的企业没有可用的 Advanced Security 许可证)。

注意:如果你禁用 GitHub Advanced Security,依赖项审核、用户的机密扫描警报 和 code scanning 都将处于禁用状态。 任何工作流程、SARIF 上传或 code scanning 的 API 调用都将失败。 如果已重新启用 GitHub Advanced Security ,code scanning 将返回到其之前的状态。

授予对安全警报的访问权限

对存储库具有写入、维护或管理员访问权限的人员可以看到存储库的安全警报,如果存储库归组织所有,则组织所有者也可看到。 你可以授予其他团队和人员访问警报。

组织所有者和存储库管理员只能向具有存储库写入权限的人员或团队授予对安全警报(如 机密扫描警报)的查看权限。

  1. 在 GitHub.com 上,导航到存储库的主页。

  2. 在存储库名称下,单击 “设置”。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”********。

    存储库标头的屏幕截图,其中显示了选项卡。 “设置”选项卡以深橙色边框突出显示。

  3. 在边栏的“安全性”部分中,单击“ 代码安全性和分析”。

  4. 在“Access to alerts(访问警报)”下,在搜索字段中开始键入你要查找的个人或团队的名称,然后单击匹配列表中的名称。

  5. 单击“保存更改”。

删除对安全警报的访问权限

  1. 在 GitHub.com 上,导航到存储库的主页。

  2. 在存储库名称下,单击 “设置”。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”********。

    存储库标头的屏幕截图,其中显示了选项卡。 “设置”选项卡以深橙色边框突出显示。

  3. 在边栏的“安全性”部分中,单击“ 代码安全性和分析”。

  4. 在“警报访问权限”下,在要删除其访问权限的个人或团队的右侧,单击

    有权访问警报的用户列表的屏幕截图。 在 @octocat 的右侧,x 图标以深橙色标出。

  5. 单击“保存更改”。

允许对存储库中的合作伙伴模式进行验证检查

注意: 合作伙伴模式的验证检查目前为 beta 版,可能会发生更改。

GitHub.com 上所有类型的存储库都提供针对合作伙伴模式的有效性检查。 若要使用此功能,必须具有 GitHub Advanced Security 的授权许可。

通过将机密发送给相关合作伙伴,你可以允许 secret scanning 自动检查在存储库中找到的机密的有效性。 或者,组织所有者和企业管理员可以为组织或企业设置中的所有存储库启用此功能。 有关详细信息,请参阅“允许对组织中的合作伙伴模式进行验证检查”和“管理企业的 GitHub Advanced Security 功能”。

还可以使用 REST API 为存储库的合作伙伴模式启用有效性检查。 有关详细信息,请参阅 REST API 文档中的“存储库”。

注意: 在为存储库启用自动验证检查时,还允许针对该存储库中检测到的模式执行按需验证检查。

  1. 在 GitHub.com 上,导航到存储库的主页。

  2. 在存储库名称下,单击 “设置”。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”********。

    存储库标头的屏幕截图,其中显示了选项卡。 “设置”选项卡以深橙色边框突出显示。

  3. 在边栏的“安全性”部分中,单击“ 代码安全性和分析”。

  4. 在 Secret scanning 下,选中“通过将机密发送给相关合作伙伴自动验证其是否有效”旁边的复选框。

延伸阅读