Настройка глобальных параметров безопасности для организации

Настройте Advanced Security функции для вашей организации, определяя глобальные настройки, которые обеспечивают единые стандарты безопасности и защищают все ваши репозитории.

Кто может использовать эту функцию?

Владельцы организации, руководители безопасности и члены организации с ролью администратора

В этой статье

Доступ к global settings странице вашей организации

  1. В правом верхнем углу GitHub, щелкните рисунок профиля, а затем выберите октикона "организация" aria-hidden="true" aria-label="organization" %} Ваши организации.

  2. Под именем организации щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

    Снимок экрана: вкладки в профиле организации. Вкладка "Параметры" выделена темно-оранжевым цветом.

  3. В разделе «Безопасность» боковой панели выберите Code security выпадающее меню, затем нажмите Global settings.

Настройка глобальных Dependabot настроек

Вы можете настроить несколько global settings из них для Dependabot:

Создание и управление Правила автообработки зависимостей

Вы можете создавать и управлять Правила автообработки зависимостей инструктажем Dependabot автоматического отклонения или откладки Dependabot alertsсна, а также открывать pull request, чтобы попытаться их разрешить. Для настройки Правила автообработки зависимостейнажмите , затем создайте или отредактируйте правило:

  • Вы можете создать новое правило, нажав кнопку "Создать правило", а затем введите сведения о правиле и нажмите кнопку "Создать правило".
  • Вы можете отредактировать существующее правило, нажав , затем внеся необходимые изменения и нажав «Сохранить правило».

Для получения дополнительной информации Правила автообработки зависимостейсм. Сведения о правилах автообработки Dependabot и Настройка правил автоматической сортировки для определения приоритетов оповещений Dependabot.

Группировка Dependabot security updates

          Dependabot Можно сгруппировать все автоматически рекомендуемые обновления безопасности в один pull request. Чтобы включить сгруппированные обновления безопасности, выберите **группированные обновления** безопасности. Дополнительные сведения о сгруппированных обновлениях и параметрах настройки см. в разделе [AUTOTITLE](/code-security/how-tos/secure-your-supply-chain/secure-your-dependencies/configuring-dependabot-security-updates#grouping-dependabot-security-updates-into-a-single-pull-request).

Предоставление Dependabot доступа к частным и внутренним хранилищам

Чтобы обновить приватные зависимости репозиториев в вашей организации, Dependabot нужен доступ к этим репозиториям. Чтобы предоставить Dependabot доступ к желаемому приватному или внутреннему репозиторию, прокрутите вниз до раздела «Предоставить Dependabot доступ к приватным репозиториям», затем используйте строку поиска, чтобы найти и выбрать нужный репозиторий. Имейте в виду, что предоставление Dependabot доступа к репозиторию означает, что все пользователи вашей организации получат доступ к содержимому этого репозитория через Dependabot updates. Дополнительные сведения о поддерживаемых экосистемах для частных репозиториев см. в разделе Поддерживаемые экосистемы и репозитории Dependabot.

Настройка глобальных code scanning настроек

Code scanning — это функция, используемая для анализа кода в репозитории GitHub для поиска уязвимостей системы безопасности и ошибок кодирования. Все проблемы, выявленные анализом, отображаются в репозитории.

Вы можете настроить несколько global settings из них для code scanning:

Рекомендация расширенного набора запросов для настройки по умолчанию

          Code scanning предлагает определённые CodeQL группы запросов, называемых CodeQL наборами запросов, которые работают с вашим кодом. По умолчанию выполняется набор запросов по умолчанию. 
          GitHub также предлагает набор запросов «Расширенный», который содержит все запросы из набора запросов «Default», а также дополнительные запросы с меньшей точностью и степенью сложности. Чтобы предложить набор запросов Extended в организации, выберите **"Расширенный набор запросов" для репозиториев, включив настройку** по умолчанию. Для получения дополнительной информации о встроенных наборах запросов для CodeQL настройки по умолчанию см. [AUTOTITLE](/code-security/concepts/code-scanning/codeql/codeql-query-suites).

Расширяющий CodeQL анализ

Вы можете расширить CodeQL охват анализа для всех репозиториев вашей организации, использующих стандартную установку, настроив CodeQL наборы моделей. Пакеты моделей расширяют CodeQL анализ, чтобы распознавать дополнительные фреймворки и библиотеки, не входящие в стандартные CodeQL библиотеки. Эта глобальная конфигурация применима к репозиториям с использованием стандартной настройки и позволяет указывать наборы моделей, опубликованные через реестр контейнеров. Дополнительные сведения см. в разделе Изменение конфигурации настройки по умолчанию.

Установка порога отказа для code scanning проверок в pull requests

Вы можете выбрать уровни серьёзности, при которых code scanning проверки pull requests не могут провалиться. Чтобы выбрать уровень серьезности безопасности, выберите раскрывающееся меню "Безопасность:УРОВЕНЬ СЕРЬЕЗНОСТИ ", а затем выберите уровень серьезности безопасности. Чтобы выбрать уровень серьезности оповещений, выберите раскрывающееся меню "ОПОВЕЩЕНИЕ-СЕРЬЕЗНОСТЬ" , а затем щелкните уровень серьезности оповещений. Дополнительные сведения см. в разделе О предупреждениях о сканировании кода.

Настройка глобальных secret scanning настроек

Secret scanning — это инструмент безопасности, который сканирует всю историю репозиториев в Git, а также вопросы, pull requests и discussions в этих репозиториях, в поисках случайно вложенных секретов, например, жетоны или приватные ключи.

Вы можете настроить несколько global settings из них для secret scanning:

Чтобы дать разработчикам контекст при secret scanning блокировке коммита, вы можете показать ссылку с дополнительной информацией о причинах блокировки коммита. Чтобы включить ссылку, нажмите кнопку "Добавить ссылку ресурса" в интерфейс командной строки и веб-интерфейс при блокировке фиксации. В текстовом поле введите ссылку на нужный ресурс, затем нажмите «Сохранить ссылку» (Save Link).

Определение пользовательских шаблонов

Вы можете определить пользовательские шаблоны с secret scanning регулярными выражениями. Пользовательские шаблоны могут выявлять секреты, которые не обнаруживаются шаблонами по умолчанию, поддерживаемыми secret scanning. Чтобы создать пользовательский шаблон, нажмите кнопку "Создать шаблон", а затем введите сведения о шаблоне и нажмите кнопку "Сохранить" и "Сухой запуск". Дополнительные сведения о пользовательских шаблонах см. в разделе Определение пользовательских шаблонов для проверки секретов.

Создание диспетчеров безопасности для организации

Роль диспетчера безопасности предоставляет членам вашей организации возможность управлять параметрами безопасности и оповещениями в организации. Диспетчеры безопасности могут просматривать данные для всех репозиториев в организации с помощью обзора безопасности.

Дополнительные сведения о роли диспетчера безопасности см. в разделе Управление диспетчерами безопасности в организации.

Чтобы назначить роль диспетчера безопасности, см . раздел AUTOTITLE.