Skip to main content

删除自定义安全配置

生成 custom security configuration 以满足组织中存储库的具体安全需求。

谁可以使用此功能?

具有管理员角色的组织所有者、安全管理员和组织成员

关于 custom security configurations

建议使用 GitHub-recommended security configuration 保护组织,然后在配置 custom security configurations 之前评估存储库的安全发现。 有关详细信息,请参阅“在组织中应用 GitHub 建议的安全配置”。

使用 custom security configurations,可以为 GitHub 的安全产品创建启用设置集合,以满足组织的特定安全需求。 例如,可以为每个存储库组创建不同的 custom security configuration 以反映其不同级别的可见性、风险容忍度和影响。

创建 custom security configuration

注意: 某些安全功能依赖于其他级别更高的安全功能。 例如,禁用依赖项关系图也会禁用 Dependabot、漏洞暴露分析和安全更新。 对于 security configurations,会使用缩进和 来表示依赖安全功能。

  1. 在 GitHub 的右上角,选择个人资料照片,然后单击 你的组织”。

  2. 在组织名称下,单击 “设置”****。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”********。

    组织配置文件中选项卡的屏幕截图。 “设置”选项卡以深橙色标出。

  3. 在边栏的“安全性”部分中,选择“代码安全”下拉菜单,然后单击“配置”。

  4. 在“代码安全配置”部分中,单击“新建配置”。

  5. 为帮助识别 custom security configuration 并在“Code security configurations”页面上明确其用途,请为配置命名并创建一段说明。

  6. 在“GitHub Advanced Security 功能”行中,选择是包含还是排除 GitHub Advanced Security (GHAS) 功能。 如果计划将带有 GHAS 功能的 custom security configuration 应用到专用存储库,则这些存储库的每个活动的唯一提交者都必须有可用的 GHAS 许可证,否则不会启用该功能。 请参阅“关于 GitHub 高级安全的计费”。

  7. 在安全设置表的“依赖项关系图”部分中,选择要启用、禁用还是保留以下安全功能的现有设置:

    注意: 无法手动更改易受攻击的函数调用的启用设置。 如果启用 GitHub Advanced Security 功能和 Dependabot alerts,则也会启用易受攻击的函数调用。 否则,处于禁用状态。

  8. 在安全设置表的“Code scanning”部分中,选择是要启用、禁用还是保留 code scanning 默认设置的现有设置。 若要了解默认设置,请参阅“配置代码扫描的默认设置”。

  9. 在安全设置表的“Secret scanning”部分中,选择要启用、禁用还是保留以下安全功能的现有设置:

  10. 或者,在“推送保护”下,选择是否要将绕过特权分配给组织中的所选参与者。 通过分配绕过特权,选定的组织成员可以绕过推送保护,并且所有其他参与者都有评审和审批过程。 有关如何配置此设置的进一步指导,请参阅“启用推送保护委派绕过”。

  11. 在安全设置表的“专用漏洞报告”部分中,选择是要启用、禁用还是保留现有设置来报告专用漏洞。 若要了解专用漏洞报告,请参阅“为存储库配置私人漏洞报告”。

  12. (可选)在“策略”部分中,可以选择根据其可见性自动将 security configuration 应用到新创建的存储库。 选择 None 下拉菜单,然后单击“公共”或“专用和内部”,或两个选项都单击。

    注意: 组织的默认 security configuration 仅自动应用到组织内新创建的存储库。 如果将存储库传输到组织,则仍需将适当的 security configuration 手动应用到存储库。

  13. 或者,在“策略”部分中,可以强制实施配置并阻止存储库所有者更改配置启用或禁用的功能(将不会强制执行未设置的功能)。 在“强制实施配置”旁边,从下拉菜单中选择“强制实施”。

    Note

    如果组织中的用户尝试使用 REST API 更改强制配置中某个功能的启用状态,则 API 调用将显示为成功,但不会更改任何启用状态。

    在某些情况下,可能会中断存储库的 security configurations 强制实施。 例如,在以下情况下,code scanning 的启用将不适用于存储库:

    • GitHub Actions 最初在存储库上启用,但在存储库中禁用。
    • code scanning 配置所需的 GitHub Actions 在存储库中不可用。
    • 不应使用 code scanning 默认设置分析语言的定义已更改。
  14. 若要完成 custom security configuration 的创建,请单击“保存配置”。

后续步骤

如需了解如何将 GitHub App 应用到组织中的存储库,请参阅“删除自定义安全配置。”

若要了解如何编辑 custom security configuration,请参阅“编辑自定义安全配置”。