关于 custom security configurations
借助 custom security configurations,你可以为 GitHub安全产品创建启用设置集合,以满足组织的特定安全需求。 例如,可以为每个组织或组织组创建一个不同的 custom security configuration 方法,以反映其独特的安全要求和合规性义务。
创建安全配置时,请记住:
- 只有实例上的 GitHub Enterprise Server 站点管理员安装的功能才会显示在 UI 中。
-
时才可见。 - 某些功能(例如 Dependabot security updates 和 code scanning 默认设置)也需要在 GitHub Actions 实例上安装 GitHub Enterprise Server 。
创建 custom security configuration
注意
某些安全功能的启用状态取决于其他更高级别的安全功能。 例如,禁用 机密扫描警报 也会禁用非提供程序模式和推送保护。
-
在 GitHub 的右上角,单击个人资料图片,然后单击“ Your organizations”****。
-
在组织名称下,单击 “Settings”****。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”********。
-
在边栏的“安全性”部分中,选择 Code security and analysis 下拉菜单,然后单击“ 配置”。
-
在“代码安全配置”部分中,单击“新建配置”。
-
为了帮助你在“代码custom security configuration”页上识别security configurations并阐明其用途,请命名配置并创建说明。
-
在“GitHub Advanced Security features”行中,选择是包含还是排除 GitHub Advanced Security (GHAS)功能。 如果计划将具有 GHAS 功能的 custom security configuration 应用于存储库,则必须为这些存储库的每个活跃的唯一提交者提供有效的 GHAS 许可证,否则这些功能将不会被启用。 请参阅“GitHub Advanced Security 许可证计费”。
-
在安全设置表的“依赖项关系图和 Dependabot”部分中,选择是要启用、禁用还是保留以下安全功能的现有设置: * Dependabot alerts。 若要了解Dependabot的相关信息,请参阅关于 Dependabot 警报。
- 安全更新。 若要了解安全更新,请参阅 关于 Dependabot 安全更新。
注意
无法手动更改依赖项关系图的启用设置。 此设置由实例级别的站点管理员安装和管理。
-
在安全设置表的“Code scanning”部分中,选择是要启用、禁用还是保留现有设置,以便进行 code scanning 默认设置。 若要了解默认设置,请参阅 配置代码扫描的默认设置。
-
在安全设置表的“Secret scanning”部分中,选择是要启用、禁用还是保留以下安全功能的现有设置:
- 警报。 若要了解机密扫描警报,请参阅关于机密扫描。
- 非提供商模式。 若要详细了解如何扫描非提供程序模式,请参阅 支持的机密扫描模式 和 查看和筛选来自机密扫描的警报。
- 推送保护。 若要了解推送保护,请参阅 关于推送保护。
-
(可选)在“策略”部分中,您可以选择根据存储库的可见性自动将 security configuration 应用于新创建的存储库。 选择 “无 ”下拉菜单,然后单击“ 公共”或“ 专用”和“内部”或“ 所有”存储库。
注意
组织的默认 security configuration 仅自动应用到组织内新创建的存储库。 如果将存储库传输到组织,则仍需将适当的 security configuration 手动应用到存储库。
-
或者,在“策略”部分中,可以强制实施配置并阻止存储库所有者更改配置启用或禁用的功能(将不会强制执行未设置的功能)。 在“强制实施配置”旁边,从下拉菜单中选择“强制实施”。
注意
某些情况可能会破坏 security configurations 的执行。 请参阅“安全配置的强制执行”。
-
若要完成创建 custom security configuration,请单击“ 保存配置”。
后续步骤
若要将 custom security configuration 应用到组织中的存储库,请参阅 删除自定义安全配置。
若要了解如何编辑 custom security configuration,请参阅 编辑自定义安全配置。