在组织中应用 GitHub 建议的安全配置

使用由 GitHub 创建、管理和推荐的安全启用设置来保护代码。

谁可以使用此功能?

具有管理员角色的组织所有者、安全管理员和组织成员

本文内容

GitHub-recommended security configuration 是 GitHub 安全功能的启用设置集合,由 GitHub 主题专家创建和维护。 GitHub-recommended security configuration 旨在成功地降低高影响和低影响存储库的安全风险。 我们建议你将此配置应用于组织中的所有存储库。

  1. 在 GitHub 的右上角,选择个人资料照片,然后单击 你的组织”。

  2. 在组织名称下,单击 “设置”****。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”********。

    组织配置文件中选项卡的屏幕截图。 “设置”选项卡以深橙色标出。

  3. 在边栏的“安全性”部分中,选择“代码安全”下拉菜单,然后单击“配置”。

  4. 在组织的配置表的“GitHub 建议”行中,选择“应用于 ”下拉菜单,**** 然后单击“所有存储库”**** 或“所有无配置的存储库”****。

  5. (可选)在“确认”对话框中,可以选择根据其可见性自动将 security configuration 应用到新创建的存储库。 选择 None 下拉菜单,然后单击“公共”或“专用和内部”,或两个选项都单击。

    注意: 组织的默认 security configuration 仅自动应用到组织内新创建的存储库。 如果将存储库传输到组织,则仍需将适当的 security configuration 手动应用到存储库。

  6. 若要应用 security configuration,请单击“应用”。

security configuration 适用于活动存储库和存档存储库,因为某些安全功能在存档存储库上运行,例如 secret scanning。 此外,如果存储库稍后取消存档,则可以确信它受到所选 security configuration 的保护。

  1. 在 GitHub 的右上角,选择个人资料照片,然后单击 你的组织”。

  2. 在组织名称下,单击 “设置”****。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”********。

    组织配置文件中选项卡的屏幕截图。 “设置”选项卡以深橙色标出。

  3. 在边栏的“安全性”部分中,选择“代码安全”下拉菜单,然后单击“配置”。

  4. (可选)在“应用配置”部分中,筛选视图,查找要将 GitHub-recommended security configuration 应用到的存储库。 若要了解如何筛选存储库表,请参阅“使用存储库表筛选组织中的存储库”。

  5. 在存储库表中,使用三种方法之一来选择存储库:

    • 选择要将 security configuration 应用到的单个存储库。
    • 若要在存储库表的当前页面上选择所有存储库,请选择“NUMBER 存储库”。****
    • 选择“NUMBER 存储库”**** 后,若要选择组织中的符合筛选条件的所有存储库,请单击“**** 全选”。

  6. **** 选择“应用配置 ”下拉菜单,然后单击****“GitHub 建议”。

  7. (可选)在“确认”对话框中,可以选择根据其可见性自动将 security configuration 应用到新创建的存储库。 选择 None 下拉菜单,然后单击“公共”或“专用和内部”,或两个选项都单击。

    注意: 组织的默认 security configuration 仅自动应用到组织内新创建的存储库。 如果将存储库传输到组织,则仍需将适当的 security configuration 手动应用到存储库。

  8. 若要应用 security configuration,请单击“应用”。

security configuration 适用于活动存储库和存档存储库,因为某些安全功能在存档存储库上运行,例如 secret scanning。 此外,如果存储库稍后取消存档,则可以确信它受到所选 security configuration 的保护。

  1. 在 GitHub 的右上角,选择个人资料照片,然后单击 你的组织”。

  2. 在组织名称下,单击 “设置”****。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”********。

    组织配置文件中选项卡的屏幕截图。 “设置”选项卡以深橙色标出。

  3. 在边栏的“安全性”部分中,选择“代码安全”下拉菜单,然后单击“配置”。

  4. 在“代码安全配置”部分中,选择“GitHub 建议”。

  5. 在“策略”部分中的“强制实施配置”旁边,从下拉菜单中选择“强制实施”****。

Note

如果组织中的用户尝试使用 REST API 更改强制配置中某个功能的启用状态,则 API 调用将显示为成功,但不会更改任何启用状态。

在某些情况下,可能会中断存储库的 security configurations 强制实施。 例如,在以下情况下,code scanning 的启用将不适用于存储库:

  • GitHub Actions 最初在存储库上启用,但在存储库中禁用。
  • code scanning 配置所需的 GitHub Actions 在存储库中不可用。
  • 不应使用 code scanning 默认设置分析语言的定义已更改。

后续步骤

应用 GitHub-recommended security configuration 后,可以使用 global settings 自定义组织级别的安全设置。 请参阅“配置组织的全局安全设置”。

尝试应用 security configuration 时可能会遇到错误。 有关详细信息,请参阅“Finding and fixing configuration attachment failures”和“排查安全配置问题”。