配置组织的全局安全设置

通过定义全局设置,为你的组织自定义 Advanced Security 功能,以确保采用一致的安全标准,并保护所有存储库。

谁可以使用此功能?

具有管理员角色的组织所有者、安全管理员和组织成员

在本文中

访问组织的 global settings 页面

  1. 在 GitHub 的右上角,单击个人资料图片,然后单击“ Your organizations”****。

  2. 在组织名称下,单击 “Settings”****。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”********。

    组织配置文件中选项卡的屏幕截图。 “设置”选项卡以深橙色标出。

  3. 在边栏的“Security”部分中,选择“Advanced Security”下拉菜单,然后单击“Global settings”********。

配置全局的 Dependabot 设置

你可为 Dependabot 自定义多个 global settings:

  •         [创建和管理 Dependabot 自动分类规则](#creating-and-managing-dependabot-auto-triage-rules)

  •         [对 Dependabot 安全更新进行分组](#grouping-dependabot-security-updates)

  •         [在 GitHub Actions 运行器上启用依赖项更新](#enabling-dependency-updates-on-github-actions-runners)

  •         [为 Dependabot 配置运行器类型](#configuring-the-runner-type-for-dependabot)

  •         [允许 Dependabot 访问专用和内部存储库](#granting-dependabot-access-to-private-and-internal-repositories)

创建和管理 Dependabot 自动分类规则

你可以创建和管理 Dependabot 自动分类规则,以指示 Dependabot 自动关闭或推迟 Dependabot alerts,甚至打开拉取请求以尝试解析它们。 要配置 Dependabot 自动分类规则,请单击 ,然后创建或编辑规则:

  • 可以单击“新建规则”,然后输入规则的详细信息,并单击“创建规则”,从而创建新的规则。
  • 可以单击 ,然后进行所需的更改并单击“保存规则”****,从而编辑现有规则。

有关 Dependabot 自动分类规则 的详细信息,请参阅 关于 Dependabot 自动分类规则自定义自动分类规则以确定 Dependabot 警报的优先级

对 Dependabot security updates

进行分组

Dependabot 可以将所有自动建议的安全更新分组到单个拉取请求中。 要启用分组的安全更新,请选择“分组的安全更新****”。 有关分组更新和自定义选项的详细信息,请参阅 配置 Dependabot 安全更新

启用 GitHub Actions 运行器上的依赖项更新

如果你的组织中现有存储库同时启用了 Dependabot 和 GitHub Actions,GitHub 将自动使用 GitHub 托管的运行器为这些存储库运行依赖项更新。

否则,要允许 Dependabot 使用 GitHub Actions 运行器为组织中的所有现有存储库执行依赖项更新,请选择“Dependabot 在 Actions 运行器上”。

有关详细信息,请参阅“关于 GitHub Actions 运行程序上的 Dependabot”。

为 Dependabot 配置运行器类型

你可以配置 Dependabot 用于扫描版本和安全更新的运行器类型。 默认情况下,Dependabot 使用标准 GitHub 托管的运行器。 你可以将 Dependabot 配置为使用带有自定义标签的自托管运行器,这允许你与现有的运行器基础结构(如 Actions Runner Controller (ARC))集成。

注意

  • 出于安全原因,即使你配置了带标签的运行器,Dependabot 也会为公共存储库使用 GitHub 托管的运行器。
  • 带标签的运行器不适用于公共存储库。

要配置运行器类型:

  1. 在“Dependabot”下,在“运行器类型”旁边,选择
  2. 在“编辑 Dependabot 的运行器类型”对话框中,选择你希望 Dependabot 使用的运行器类型: * 标准 GitHub 运行器。 * 带标签的运行器:如果选择此选项,Dependabot 将使用与你指定的标签匹配的自托管运行器。
  3. 如果选择了带标签的运行器
    • 在“运行器标签”中,输入分配给你的自托管运行器的标签。 Dependabot 将使用带有此标签的运行器。 默认情况下, dependabot 使用标签,但可以指定自定义标签以匹配现有的运行程序基础结构。
    • (可选)在“跑者组名称”中,如果您想要以特定的跑者组为目标,请输入该组的名称。
  4. 单击保存运行选择

有关为 Dependabot 配置自托管运行器的详细信息,请参阅 在自托管运行器上配置 Dependabot

允许 Dependabot 访问专用 和内部

存储库

为了更新组织中的存储库的专用依赖项,Dependabot 需要对这些存储库的访问权限。 要为 Dependabot 授予对所需专用 或内部 存储库的访问权限,请向下滚动到“授予 Dependabot 对专用存储库的访问权限”部分,然后使用搜索栏查找和选择所需的存储库。 请注意,向 Dependabot 授予对存储库的访问权限,意味着组织中的所有用户都可以通过 Dependabot updates 访问该存储库的内容。 有关专用存储库支持的生态系统的详细信息,请参阅 Dependabot 支持的生态系统和存储库

配置全局 code scanning 设置

Code scanning 是一项功能,可用于分析 GitHub 仓库中的代码,以查找安全漏洞和编码错误。 分析标识的任何问题都显示在存储库中。

可以为 code scanning 自定义多个 global settings:

  • 为 CodeQL 启用 Copilot自动修复
  •         [建议使用扩展查询套件进行默认设置](#recommending-the-extended-query-suite-for-default-setup)

  •         [扩展 CodeQL 分析](#expanding-codeql-analysis)

建议将扩展查询套件用于默认设置

Code scanning 提供几组特定的 CodeQL 查询,称为 CodeQL 查询套件,可以针对代码运行。 默认情况下,会运行“默认”查询套件。 GitHub 还提供“扩展”查询套件,其中包含“默认”查询套件中的所有查询,另外还有精度和严重性较低的其他查询。 要在整个组织中建议使用“扩展”查询套件,请选择“建议将扩展查询套件用于启用默认设置的存储库”****。 有关 CodeQL 默认设置的内置查询套件的详细信息,请参阅 CodeQL 查询套件

为 CodeQL 启用 Copilot自动修复

你可以选择 Copilot自动修复,为组织中所有使用 CodeQL 默认设置或 CodeQL 高级设置的存储库启用 Copilot自动修复。 Copilot自动修复 是 code scanning 的扩展功能,可为 code scanning 警报提供修复建议。 有关详细信息,请参阅“负责任地使用 Copilot Autofix 进行代码扫描”。

扩展 CodeQL 分析

你可以通过配置 CodeQL 模型包,扩展组织中所有使用默认设置的存储库的 CodeQL 分析覆盖范围。 模型包扩展了CodeQL分析功能,以识别不包含在标准CodeQL库中的其他框架和库。 此全局配置适用于使用默认设置的存储库,并允许指定通过容器注册表发布的模型包。 有关详细信息,请参阅“编辑默认设置配置”。

配置全局 secret scanning 设置

Secret scanning 是一种安全工具,用于扫描存储库的整个 Git 历史记录, 以及这些存储库中的问题、 拉取请求、 讨论和 wikis,以查找因意外提交而泄露的机密,例如令牌或私钥。

可以为 secret scanning 自定义多个 global settings:

  •         [为阻止的提交添加资源链接](#adding-a-resource-link-for-blocked-commits)

  •         [定义自定义模式](#defining-custom-patterns)

  •         [指定要包含在推送保护中的模式](#specifying-patterns-to-include-in-push-protection)

要在 secret scanning 阻止提交时为开发人员提供上下文,你可以显示一个链接,包含有关提交被阻止的原因的详细信息。 要包含链接,请选择“在阻止提交时在 CLI 和 Web UI 中添加资源链接”****。 在文本框中,输入所需资源的链接,然后单击 保存链接

定义自定义模式

你可以使用正则表达式为 secret scanning 定义自定义模式。 自定义模式可以识别 secret scanning 支持的默认模式未检测到的机密。 要创建自定义模式,请单击“新建模式”,然后输入模式的详细信息,然后单击“保存和试运行”。 有关自定义模式的详细信息,请参阅 为机密扫描定义自定义模式

指定要包含在推送保护中的模式

注意

企业和组织级别的推送保护模式配置目前处于 公共预览版,可能会发生变化。

可以自定义推送保护中包含的机密模式,让安全团队能够更好地控制组织仓库中阻止的机密类型。

  1. 在“Additional settings”下,在“Secret scanning”部分中的“Pattern configurations”右侧,单击“”****。
  2. 在显示的页面中,在“Organization setting”列中进行所需的更改。

可以使用相关列中的切换按钮为单个模式启用或禁用推送保护:企业级别为“Enterprise setting”,组织级别为“Organization setting”。

数据受范围限制,因此警报量、误报、绕过率或自定义模式的可用性反映了企业或组织中的用户/警报活动。____

随着我们提高精准率并推广模式,GitHub 默认值可能会随时间而变化。

注意

组织管理员和安全团队可以替代企业级别配置的设置。

有关如何在 数据变量.product.prodname_secret_scanning %} 模式配置页面上读取数据的更多信息,请参阅 机密扫描模式配置数据

为组织创建安全管理员

安全管理员角色授予组织成员管理整个组织的安全设置和警报的权限。 安全管理员可以通过安全概览,查看组织中所有存储库的数据。

要了解有关安全管理员角色的详细信息,请参阅 管理组织中的安全管理员

要分配安全管理员角色,请参阅“使用组织角色”。