关于 custom security configurations
建议使用 GitHub-recommended security configuration 保护组织,然后在配置 custom security configurations 之前评估存储库的安全发现。 有关详细信息,请参阅“在组织中应用 GitHub 建议的安全配置”。
使用 custom security configurations,可以为 GitHub 的安全产品创建启用设置集合,以满足组织的特定安全需求。 例如,可以为每个存储库组创建不同的 custom security configuration 以反映其不同级别的可见性、风险容忍度和影响。
创建 custom security configuration
注意: 某些安全功能依赖于其他级别更高的安全功能。 例如,禁用依赖项关系图也会禁用 Dependabot、漏洞暴露分析和安全更新。 对于 security configurations,会使用缩进和 来表示依赖安全功能。
-
在 GitHub 的右上角,选择个人资料照片,然后单击 “你的组织”。
-
在组织名称下,单击 “设置”****。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”********。
-
在边栏的“安全性”部分中,选择“代码安全”下拉菜单,然后单击“配置”。
-
在“代码安全配置”部分中,单击“新建配置”。
-
为帮助识别 custom security configuration 并在“Code security configurations”页面上明确其用途,请为配置命名并创建一段说明。
-
在“GitHub Advanced Security 功能”行中,选择是包含还是排除 GitHub Advanced Security (GHAS) 功能。 如果计划将带有 GHAS 功能的 custom security configuration 应用到专用存储库,则这些存储库的每个活动的唯一提交者都必须有可用的 GHAS 许可证,否则不会启用该功能。 请参阅“关于 GitHub 高级安全的计费”。
-
在安全设置表的“依赖项关系图”部分中,选择要启用、禁用还是保留以下安全功能的现有设置:
- 依赖项关系图。 若要了解依赖项关系图,请参阅“关于依赖关系图”。
- 自动依赖项提交。 若要了解自动依赖项提交,请参阅“为存储库配置自动依赖项提交”。
- Dependabot。 若要详细了解 Dependabot,请参阅“关于 Dependabot 警报”。
- 安全更新。 若要了解安全更新,请参阅“关于 Dependabot 安全更新”。
注意: 无法手动更改易受攻击的函数调用的启用设置。 如果启用 GitHub Advanced Security 功能和 Dependabot alerts,则也会启用易受攻击的函数调用。 否则,处于禁用状态。
-
在安全设置表的“Code scanning”部分中,选择是要启用、禁用还是保留 code scanning 默认设置的现有设置。 若要了解默认设置,请参阅“配置代码扫描的默认设置”。
-
在安全设置表的“Secret scanning”部分中,选择要启用、禁用还是保留以下安全功能的现有设置:
- Secret scanning。 若要了解 secret scanning,请参阅“关于机密扫描”。
- 有效性检查。 若要详细了解合作伙伴模式的验证检查,请参阅“评估来自机密扫描的警报”。
- 非提供商模式。 若要了解有关扫描非提供程序模式的详细信息,请参阅“支持的机密扫描模式”和“查看和筛选机密扫描警报”。
- 推送保护。 若要了解推送保护,请参阅“关于推送保护”。
-
或者,在“推送保护”下,选择是否要将绕过特权分配给组织中的所选参与者。 通过分配绕过特权,选定的组织成员可以绕过推送保护,并且所有其他参与者都有评审和审批过程。 有关如何配置此设置的进一步指导,请参阅“启用推送保护委派绕过”。
-
在安全设置表的“专用漏洞报告”部分中,选择是要启用、禁用还是保留现有设置来报告专用漏洞。 若要了解专用漏洞报告,请参阅“为存储库配置私人漏洞报告”。
-
(可选)在“策略”部分中,可以选择根据其可见性自动将 security configuration 应用到新创建的存储库。 选择 None 下拉菜单,然后单击“公共”或“专用和内部”,或两个选项都单击。
注意: 组织的默认 security configuration 仅自动应用到组织内新创建的存储库。 如果将存储库传输到组织,则仍需将适当的 security configuration 手动应用到存储库。
-
或者,在“策略”部分中,可以强制实施配置并阻止存储库所有者更改配置启用或禁用的功能(将不会强制执行未设置的功能)。 在“强制实施配置”旁边,从下拉菜单中选择“强制实施”。
Note
如果组织中的用户尝试使用 REST API 更改强制配置中某个功能的启用状态,则 API 调用将显示为成功,但不会更改任何启用状态。
在某些情况下,可能会中断存储库的 security configurations 强制实施。 例如,在以下情况下,code scanning 的启用将不适用于存储库:
- GitHub Actions 最初在存储库上启用,但在存储库中禁用。
- code scanning 配置所需的 GitHub Actions 在存储库中不可用。
- 不应使用 code scanning 默认设置分析语言的定义已更改。
-
若要完成 custom security configuration 的创建,请单击“保存配置”。
后续步骤
如需了解如何将 GitHub App 应用到组织中的存储库,请参阅“删除自定义安全配置。”
若要了解如何编辑 custom security configuration,请参阅“编辑自定义安全配置”。