删除自定义安全配置

生成 custom security configuration 以满足组织中存储库的具体安全需求。

谁可以使用此功能?

具有管理员角色的组织所有者、安全管理员和组织成员

在本文中

如果你熟悉 GitHub 的安全产品,并且具有 GitHub-recommended security configuration 无法满足的特定安全需求,则可以创建并应用 custom security configurations。 有关详细信息,请参阅“安全配置”。

重要

某些设置的顺序和名称可能会因你使用的许可证不同而有所差异,这取决于使用的是最初的 GitHub Advanced Security 产品的许可证,还是两个新产品(GitHub Code Security 和 GitHub Secret Protection)的许可证。 请参阅创建 GitHub Advanced Security 配置创建 Secret Protection and Code Security 配置

创建 Secret Protection and Code Security 配置

  1. 在 GitHub 的右上角,单击个人资料图片,然后单击“ Your organizations”****。

  2. 在组织名称下,单击 “Settings”****。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”********。

    组织配置文件中选项卡的屏幕截图。 “设置”选项卡以深橙色标出。

  3. 在边栏的“Security”部分中,选择“ Advanced Security”下拉菜单,然后单击“Configurations”********。

  4. 在“Security configurations”部分,单击“新建配置”****。

  5. 为帮助识别 custom security configuration 并在“Security configurations”页面上明确其用途,请为配置命名并创建一段说明。

  6. (可选)启用“Secret Protection”,这是一个针对专用和内部存储库的付费功能。 启用 Secret Protection 将启用 secret scanning 的警报。 此外,你可以选择是启用、禁用还是保持以下 secret scanning 功能的现有设置: * 有效性检查。 若要详细了解合作伙伴模式的有效性检查,请参阅 关于有效性检查评估机密扫描警报。 * 扩展元数据。 若要了解有关扩展元数据检查的详细信息,请参阅 关于扩展元数据检查评估机密扫描警报

    注意

    只有启用了有效性检查,才可以启用扩展元数据检查。

    •     **非提供商模式**。 要了解有关扫描非提供者模式的更多信息,请参见“[AUTOTITLE](/code-security/secret-scanning/introduction/supported-secret-scanning-patterns#non-provider-patterns)”和“[AUTOTITLE](/code-security/secret-scanning/managing-alerts-from-secret-scanning/viewing-alerts)”。

    •     **扫描泛型密码**。 要了解详细信息,请参阅“[AUTOTITLE](/code-security/secret-scanning/copilot-secret-scanning/responsible-ai-generic-secrets)”。

    •     **推送保护**。 要了解推送保护,请参阅“[AUTOTITLE](/code-security/secret-scanning/introduction/about-push-protection)”。

    •     **绕过权限**。 通过分配绕过特权,选定的组织成员可以绕过推送保护,并且所有其他参与者都有评审和审批过程。 请参阅“[AUTOTITLE](/code-security/secret-scanning/using-advanced-secret-scanning-and-push-protection-features/delegated-bypass-for-push-protection/about-delegated-bypass-for-push-protection)”。 

    •     **防止直接关闭警报**。 要了解详细信息,请参阅“[AUTOTITLE](/code-security/secret-scanning/using-advanced-secret-scanning-and-push-protection-features/enabling-delegated-alert-dismissal-for-secret-scanning)”。

  7. (可选)启用“Code Security”,这是一个针对专用和内部仓库的付费功能。 此外,你可以选择是启用、禁用还是保持以下 code scanning 功能的现有设置: * 默认设置。 有关默认设置的详细信息,请参阅 配置代码扫描的默认设置

注意

要创建可应用于所有仓库(无论当前 code scanning 设置如何)的配置,请选择“Enabled with advanced setup allowed”。 此设置仅在未积极运行 CodeQL 分析的仓库中启用默认设置。 GitHub Enterprise Server 3.19 中提供的选项。

  •      **运行程序类型**。 如果要将 code scanning 的特定运行程序作为目标,可以在此步骤选择使用自定义标签的运行程序。 请参阅“[AUTOTITLE](/code-security/code-scanning/enabling-code-scanning/configuring-default-setup-for-code-scanning#assigning-labels-to-runners)”。 

* 

          **防止直接关闭警报**。 要了解详细信息,请参阅“[AUTOTITLE](/code-security/code-scanning/managing-your-code-scanning-configuration/enabling-delegated-alert-dismissal-for-code-scanning)”。

  1. 仍然在“Code Security”下,在“Dependency scanning”表格中,选择是启用、禁用还是保持以下依赖扫描功能的现有设置: * 依赖项关系图。 若要了解依赖项关系图,请参阅“关于依赖关系图”。

    提示

    启用“Code Security”和依赖项关系图时,这将启用依赖项检查,请参阅“关于依赖项评审”。

    •      **自动提交依赖关系**。 若要了解自动依赖项提交,请参阅 [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/configuring-automatic-dependency-submission-for-your-repository)。

    •      **Dependabot 警报**。 若要详细了解 Dependabot,请参阅 [AUTOTITLE](/code-security/dependabot/dependabot-alerts/about-dependabot-alerts)。

    •      **安全更新**。 若要了解安全更新,请参阅 [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates)。

    •      **防止直接关闭警报**。 若要了解详细信息,请参阅 [AUTOTITLE](/code-security/dependabot/dependabot-alerts/enable-delegated-alert-dismissal)。

  2. 对于“专用漏洞报告”,请选择是要启用、禁用还是保留现有设置。 要了解专用漏洞报告,请参阅“为存储库配置私人漏洞报告”。

  3. (可选)在“Policy”部分,可以使用其他选项来控制配置的应用方式: * 用作新创建的存储库的默认值。 选择 下拉菜单,然后点击公共私有和内部所有仓库

    注意

    组织的默认 security configuration 仅自动应用到组织内新创建的存储库。 如果将存储库传输到组织,则仍需将适当的 security configuration 手动应用到存储库。

    •      **强制执行配置**。 阻止存储库所有者更改通过配置启用或禁用的功能(不会强制执行未设置的功能)。 从下拉菜单中选择“Enforce”****。

    注意

    某些情况可能会破坏 security configurations 的执行。 请参阅“安全配置的强制执行”。

  4. 若要完成 custom security configuration 的创建,请单击“保存配置”。

创建 GitHub Advanced Security 配置

  1. 在 GitHub 的右上角,单击个人资料图片,然后单击“ Your organizations”****。

  2. 在组织名称下,单击 “Settings”****。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”********。

    组织配置文件中选项卡的屏幕截图。 “设置”选项卡以深橙色标出。

  3. 在边栏的“Security”部分中,选择“ Advanced Security”下拉菜单,然后单击“Configurations”********。

  4. 在“安全配置”部分,单击“新配置”****。

  5. 为帮助识别 custom security configuration 并在“新配置”页面上明确其用途,请为配置命名并创建一段说明。

  6. 在“GitHub Advanced Security features”行中,选择是包含还是排除 GitHub Advanced Security (GHAS) 功能。

  7. 在“Secret scanning”表中,选择是要启用、禁用还是保留以下安全功能的现有设置: * 有效性检查。 若要详细了解合作伙伴模式的验证检查,请参阅 评估机密扫描警报. * 非提供商模式。 要了解有关扫描非提供者模式的更多信息,请参见“支持的机密扫描模式”和“查看和筛选来自机密扫描的警报”。 * 扫描泛型密码。 要了解详细信息,请参阅“使用 Copilot 机密扫描负责任地检测通用机密”。 * 推送保护。 要了解推送保护,请参阅“关于推送保护”。 * 绕过权限。 通过分配绕过特权,选定的组织成员可以绕过推送保护,并且所有其他参与者都有评审和审批过程。 请参阅“关于推送保护的委派绕过”。 * 防止直接关闭警报。 要了解详细信息,请参阅“为机密扫描启用委派的警报消除”。

  8. 在“Code scanning”表中,选择是要启用、禁用还是保留 code scanning 默认设置的现有设置。 * 默认设置。 有关默认设置的详细信息,请参阅 配置代码扫描的默认设置

注意

要创建可应用于所有仓库(无论当前 code scanning 设置如何)的配置,请选择“Enabled with advanced setup allowed”。 此设置仅在未积极运行 CodeQL 分析的仓库中启用默认设置。 GitHub Enterprise Server 3.19 中提供的选项。

  •      **运行程序类型**。 如果要将 code scanning 的特定运行程序作为目标,可以在此步骤选择使用自定义标签的运行程序。 请参阅“[AUTOTITLE](/code-security/code-scanning/enabling-code-scanning/configuring-default-setup-for-code-scanning#assigning-labels-to-runners)”。 

* 

          **防止直接关闭警报**。 要了解详细信息,请参阅“[AUTOTITLE](/code-security/code-scanning/managing-your-code-scanning-configuration/enabling-delegated-alert-dismissal-for-code-scanning)”。

  1. 在“依赖项扫描”表中,选择是要启用、禁用还是保留以下依赖项扫描功能的现有设置: * 依赖项关系图。 若要了解依赖项关系图,请参阅“关于依赖关系图”。

    提示

    同时启用“GitHub Advanced Security”和“依赖项关系图”时,这将启用依赖项检查,请参阅 关于依赖项评审

    •      **自动提交依赖关系**。 若要了解自动依赖项提交,请参阅 [AUTOTITLE](/code-security/supply-chain-security/understanding-your-software-supply-chain/configuring-automatic-dependency-submission-for-your-repository)。

    •      **Dependabot 警报**。 若要详细了解 Dependabot,请参阅 [AUTOTITLE](/code-security/dependabot/dependabot-alerts/about-dependabot-alerts)。

    •      **安全更新**。 若要了解安全更新,请参阅 [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates)。

    •      **防止直接关闭警报**。 若要了解详细信息,请参阅 [AUTOTITLE](/code-security/dependabot/dependabot-alerts/enable-delegated-alert-dismissal)。

  2. 对于“专用漏洞报告”,请选择是要启用、禁用还是保留现有设置。 要了解专用漏洞报告,请参阅“为存储库配置私人漏洞报告”。

  3. (可选)在“Policy”部分,可以使用其他选项来控制配置的应用方式: * 用作新创建的存储库的默认值。 选择 下拉菜单,然后点击公共私有和内部所有仓库

    注意

    组织的默认 security configuration 仅自动应用到组织内新创建的存储库。 如果将存储库传输到组织,则仍需将适当的 security configuration 手动应用到存储库。

    •      **强制执行配置**。 阻止存储库所有者更改通过配置启用或禁用的功能(不会强制执行未设置的功能)。 从下拉菜单中选择“Enforce”****。

  4. 若要完成 custom security configuration 的创建,请单击“保存配置”。

后续步骤

如需了解如何将 custom security configuration 应用到组织中的仓库,请参阅 删除自定义安全配置

若要了解如何编辑 custom security configuration,请参阅 编辑自定义安全配置