此版本的 GitHub Enterprise Server 已于以下日期停止服务 2026-04-23. 即使针对重大安全问题,也不会发布补丁。 为了获得更好的性能、更高的安全性和新功能,请升级到最新版本的 GitHub Enterprise。 如需升级帮助,请联系 GitHub Enterprise 支持

配置组织的全局安全设置

通过定义全局设置,为您组织的 Advanced Security 功能进行自定义,以确保一致的安全标准并保护您所有的存储库。

谁可以使用此功能?

具有管理员角色的组织所有者、安全管理员和组织成员

在本文中

访问组织的global settings页面

  1. 在 GitHub 的右上角,单击个人资料图片,然后单击“ Your organizations”****。

  2. 在组织名称下,单击 “Settings”****。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”********。

    组织配置文件中选项卡的屏幕截图。 “设置”选项卡以深橙色标出。

  3. 在边栏的“安全性”部分中,选择 Code security and analysis 下拉菜单,然后单击 Global settings

配置全局 Dependabot 设置

你可以为global settings自定义多个Dependabot项:

创建和管理 Dependabot 自动分类规则

你可以创建和管理 Dependabot 自动分类规则 以指示 Dependabot 自动消除或推迟 Dependabot alerts,甚至打开拉取请求以尝试解决它们。 若要配置 Dependabot 自动分类规则,请单击 ,然后创建或编辑规则:

  • 可以单击“新建规则”,然后输入规则的详细信息,并单击“创建规则”,从而创建新的规则。
  • 可以通过单击,然后进行所需的更改并单击保存规则来编辑现有规则。

有关详细信息 Dependabot 自动分类规则,请参阅 关于 Dependabot 自动分类规则自定义自动分类规则以确定 Dependabot 警报的优先级

分组 Dependabot security updates

          Dependabot 可以将所有自动建议的安全更新分组到单个拉取请求中。 要启用分组的安全更新,请选择“分组的安全更新****”。 有关分组更新和自定义选项的详细信息,请参阅 [AUTOTITLE](/code-security/how-tos/secure-your-supply-chain/secure-your-dependencies/configuring-dependabot-security-updates#grouping-dependabot-security-updates-into-a-single-pull-request)。


          Dependabot授予对专用存储库和内部存储库的访问权限

若要更新组织中存储库的专用依赖项, Dependabot 需要访问这些存储库。 若要授予 Dependabot 对所需专用 或内部 存储库的访问权限,请向下滚动到“授予 Dependabot 对专用存储库的访问权限”部分,然后使用搜索栏查找并选择所需的存储库。 请注意,授予 Dependabot 对存储库的访问权限意味着组织中的所有用户都可以访问 Dependabot updates该存储库的内容。 有关专用存储库支持的生态系统的详细信息,请参阅 Dependabot 支持的生态系统和存储库

配置全局 code scanning 设置

Code scanning 是一项功能,可用于分析 GitHub 仓库中的代码,以查找安全漏洞和编码错误。 分析标识的任何问题都显示在存储库中。

你可以为global settings自定义多个code scanning项:

建议将扩展查询套件用于默认设置

          Code scanning 提供一组特定的 CodeQL 查询,称为 CodeQL 查询套件,以在您的代码中运行。 默认情况下,会运行“默认”查询套件。 
          GitHub 还提供“扩展”查询套件,其中包含“默认”查询套件中的所有查询,以及精度和严重性较低的其他查询。 要在整个组织中建议使用“扩展”查询套件,请选择“建议将扩展查询套件用于启用默认设置的存储库”****。 有关默认设置的内置查询套件 CodeQL 的详细信息,请参阅 [AUTOTITLE](/code-security/concepts/code-scanning/codeql/codeql-query-suites)。

展开 CodeQL 分析

可以通过配置CodeQL模型包来扩展CodeQL组织中所有使用默认设置的存储库的分析覆盖范围。 模型包扩展 CodeQL 分析,以识别标准库中不包含 CodeQL 的其他框架和库。 此全局配置适用于使用默认设置的存储库,并允许指定通过容器注册表发布的模型包。 有关详细信息,请参阅“编辑默认设置配置”。

为 code scanning 拉取请求中的检查设置失败阈值

可以选择在拉取请求上运行的检查将失败的严重性级别 code scanning 。 要选择安全严重性级别,请选择****“安全:安全-严重性-级别”下拉菜单,然后单击安全严重级别。 要选择警报严重性级别,请选择****“其他:警报-严重性-级别”下拉菜单,然后单击警报严重性级别。 有关详细信息,请参阅“关于代码扫描警报”。

配置全局 secret scanning 设置

Secret scanning 是一种安全工具,用于扫描存储库的整个 Git 历史记录, 以及这些存储库中的问题、 拉取请求和讨论,以查找因意外提交而泄露的机密,例如令牌或私钥。

你可以为global settings自定义多个secret scanning项:

若要在阻止提交时 secret scanning 为开发人员提供上下文,可以显示一个链接,其中包含有关阻止提交的原因的详细信息。 要包含链接,请选择“在阻止提交时在 CLI 和 Web UI 中添加资源链接”****。 在文本框中,键入指向所需资源的链接,然后单击“ 保存”。

定义自定义模式

可以使用正则表达式为secret scanning定义自定义模式。 自定义模式可以识别无法被默认模式检测到的 secret scanning 机密。 要创建自定义模式,请单击“新建模式”,然后输入模式的详细信息,然后单击“保存和试运行”。 有关自定义模式的详细信息,请参阅 为机密扫描定义自定义模式

为组织创建安全管理员

安全管理员角色授予组织成员管理整个组织的安全设置和警报的权限。 安全管理员可以通过安全概览,查看组织中所有存储库的数据。

要了解有关安全管理员角色的详细信息,请参阅 管理组织中的安全管理员

要向团队中的所有成员授予安全管理员角色,请在“搜索团队”文本框中,键入所需团队的名称。 在显示的下拉菜单中,单击团队,然后单击“我了解,授予安全管理员权限”****。