Enterprise Server 3.21 в настоящее время доступен в качестве кандидата на выпуск.

Настройка глобальных параметров безопасности для организации

Настройте Advanced Security функции для вашей организации, определяя глобальные настройки, которые обеспечивают единые стандарты безопасности и защищают все ваши репозитории.

Кто может использовать эту функцию?

Владельцы организации, руководители безопасности и члены организации с ролью администратора

В этой статье

Доступ к global settings странице вашей организации

  1. В правом верхнем углу GitHub, щелкните рисунок профиля, а затем выберите октикона "организация" aria-hidden="true" aria-label="organization" %} Ваши организации.

  2. Под именем организации щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

    Снимок экрана: вкладки в профиле организации. Вкладка "Параметры" выделена темно-оранжевым цветом.

  3. В разделе «Безопасность» боковой панели выберите Advanced Security выпадающее меню, затем нажмите Global settings.

Настройка глобальных Dependabot настроек

Вы можете настроить несколько global settings из них для Dependabot:

Создание и управление Правила автообработки зависимостей

Вы можете создавать и управлять Правила автообработки зависимостей инструктажем Dependabot автоматического отклонения или откладки Dependabot alertsсна, а также открывать pull request, чтобы попытаться их разрешить. Для настройки Правила автообработки зависимостейнажмите , затем создайте или отредактируйте правило:

  • Вы можете создать новое правило, нажав кнопку "Создать правило", а затем введите сведения о правиле и нажмите кнопку "Создать правило".
  • Вы можете отредактировать существующее правило, нажав , затем внеся необходимые изменения и нажав «Сохранить правило».

Для получения дополнительной информации Правила автообработки зависимостейсм. Сведения о правилах автообработки Dependabot и Настройка правил автоматической сортировки для определения приоритетов оповещений Dependabot.

Группировка Dependabot security updates

          Dependabot Можно сгруппировать все автоматически рекомендуемые обновления безопасности в один pull request. Чтобы включить сгруппированные обновления безопасности, выберите **группированные обновления** безопасности. Дополнительные сведения о сгруппированных обновлениях и параметрах настройки см. в разделе [AUTOTITLE](/code-security/how-tos/secure-your-supply-chain/secure-your-dependencies/configuring-dependabot-security-updates#grouping-dependabot-security-updates-into-a-single-pull-request).

Настройка типа бегущего для Dependabot

Вы можете настроить, какой тип раннера Dependabot использует для сканирования версий и обновлений безопасности. По умолчанию Dependabot использует стандартные GitHub-hosted runners. Можно настроить Dependabot использование самостоятельных раннеров с пользовательскими метками, что позволяет интегрироваться с существующей инфраструктурой раннеров, такой Actions Runner Controller как (ARC).

Примечание.

  • По соображениям Dependabot безопасности использует GitHub-hosted runners для публичных репозиториев, даже при настройке маркированных раннеров.
  • Маркированные бегущие не работают для публичных репозиториев.

Для настройки типа раннера:

  1. В разделе «Dependabot», рядом с «Тип бегуна» выберите .
  2. В диалоге «Редактировать тип раннера для Dependabot» выберите тип раннера, который вы хотите Dependabot использовать:
    • Стандартный GitHub бегун.
    • Маркированный бегун: Если выбрать эту опцию, Dependabot используйте самостоятельные бегунки, соответствующие указанному вами метке.
  3. Если вы выбрали Labeled runner:
    • В разделе «Runner label» введите метку, присваиваемую вашим самостоятельным бегунам. Dependabot Буду использовать бегунки с этой этикеткой. По умолчанию используется эта dependabot метка, но вы можете задать пользовательскую метку, соответствующую существующей инфраструктуре Runner.
    • Опционально, в разделе «Название группы бегуна» введите название группы бегунов, если хотите нацелиться на конкретную группу.
  4. Нажмите «Сохранить выбор бегуна».

Предоставление Dependabot доступа к частным и внутренним хранилищам

Чтобы обновить приватные зависимости репозиториев в вашей организации, Dependabot нужен доступ к этим репозиториям. Чтобы предоставить Dependabot доступ к желаемому приватному или внутреннему репозиторию, прокрутите вниз до раздела «Предоставить Dependabot доступ к приватным репозиториям», затем используйте строку поиска, чтобы найти и выбрать нужный репозиторий. Имейте в виду, что предоставление Dependabot доступа к репозиторию означает, что все пользователи вашей организации получат доступ к содержимому этого репозитория через Dependabot updates. Дополнительные сведения о поддерживаемых экосистемах для частных репозиториев см. в разделе Поддерживаемые экосистемы и репозитории Dependabot.

Настройка глобальных code scanning настроек

Code scanning — это функция, используемая для анализа кода в репозитории GitHub для поиска уязвимостей системы безопасности и ошибок кодирования. Все проблемы, выявленные анализом, отображаются в репозитории.

Вы можете рекомендовать репозиториям в вашей организации использовать набор запросов «Расширенный» вместо «Default» для более code scanning широкого покрытия по всей организации. Смотрите раздел Рекомендация расширенного набора запросов для настройки по умолчанию.

Рекомендация расширенного набора запросов для настройки по умолчанию

          Code scanning предлагает определённые CodeQL группы запросов, называемых CodeQL наборами запросов, которые работают с вашим кодом. По умолчанию выполняется набор запросов по умолчанию. 
          GitHub также предлагает набор запросов «Расширенный», который содержит все запросы из набора запросов «Default», а также дополнительные запросы с меньшей точностью и степенью сложности. Чтобы предложить набор запросов Extended в организации, выберите **"Расширенный набор запросов" для репозиториев, включив настройку** по умолчанию. Для получения дополнительной информации о встроенных наборах запросов для CodeQL настройки по умолчанию см. [AUTOTITLE](/code-security/concepts/code-scanning/codeql/codeql-query-suites).

Расширяющий CodeQL анализ

Вы можете расширить CodeQL охват анализа для всех репозиториев вашей организации, использующих стандартную установку, настроив CodeQL наборы моделей. Пакеты моделей расширяют CodeQL анализ, чтобы распознавать дополнительные фреймворки и библиотеки, не входящие в стандартные CodeQL библиотеки. Эта глобальная конфигурация применима к репозиториям с использованием стандартной настройки и позволяет указывать наборы моделей, опубликованные через реестр контейнеров. Дополнительные сведения см. в разделе Изменение конфигурации настройки по умолчанию.

Настройка глобальных secret scanning настроек

Secret scanning — это инструмент безопасности, который сканирует всю историю репозиториев в Git, а также вопросы, pull requests, обсуждения и wikis в этих репозиториях, в поисках случайно вложенных секретов, например, жетоны или приватные ключи.

Вы можете настроить несколько global settings из них для secret scanning:

Чтобы дать разработчикам контекст при secret scanning блокировке коммита, вы можете показать ссылку с дополнительной информацией о причинах блокировки коммита. Чтобы включить ссылку, нажмите кнопку "Добавить ссылку ресурса" в интерфейс командной строки и веб-интерфейс при блокировке фиксации. В текстовом поле введите ссылку на нужный ресурс, затем нажмите «Сохранить ссылку».

Определение пользовательских шаблонов

Вы можете определить пользовательские шаблоны с secret scanning регулярными выражениями. Пользовательские шаблоны могут выявлять секреты, которые не обнаруживаются шаблонами по умолчанию, поддерживаемыми secret scanning. Чтобы создать пользовательский шаблон, нажмите кнопку "Создать шаблон", а затем введите сведения о шаблоне и нажмите кнопку "Сохранить" и "Сухой запуск". Дополнительные сведения о пользовательских шаблонах см. в разделе Определение пользовательских шаблонов для проверки секретов.

Указание шаблонов для включения в защиту push-уведомлений

Примечание.

Конфигурация шаблонов для принудительной защиты на уровне предприятия и организации в настоящее время находится в Публичный предварительный просмотр и подлежит изменению.

Вы можете настроить, какие шаблоны секретов включены в защиту push-уведомлений, что позволяет группам безопасности более контролировать, какие типы секретов блокируются в репозиториях в вашей организации.

  1. В разделе «Дополнительные настройки» в разделе «Secret scanning» и справа от «Конфигурации узоров» нажмите .
  2. На странице, которая отображается, внесите необходимые изменения в столбец "Настройка организации".

Вы можете включить или отключить защиту push-уведомлений для отдельных шаблонов с помощью переключателя в соответствующем столбце: "Корпоративный параметр" на уровне предприятия и "Настройка организации" на уровне организации.

Данные ограничены областью, поэтому объем оповещений, ложные срабатывания, скорость обхода или доступность пользовательских шаблонов отражает действия пользователей или оповещений в организации или организации.

Значение по умолчанию GitHub может меняться с течением времени, так как мы увеличиваем точность и повышаем шаблоны.

Примечание.

Администраторы организации и группы безопасности могут переопределить параметры, настроенные на уровне предприятия.

Для получения дополнительной информации о том, как читать данные на secret scanning странице конфигурации узора, смотрите Данные конфигурации шаблона секретного сканирования.

Создание диспетчеров безопасности для организации

Роль диспетчера безопасности предоставляет членам вашей организации возможность управлять параметрами безопасности и оповещениями в организации. Диспетчеры безопасности могут просматривать данные для всех репозиториев в организации с помощью обзора безопасности.

Дополнительные сведения о роли диспетчера безопасности см. в разделе Управление диспетчерами безопасности в организации.

Чтобы назначить роль диспетчера безопасности, см . раздел AUTOTITLE.