管理存储库的安全和分析设置

关于存储库的安全和分析设置

GitHub 提供了许多不同的安全功能，你可以为存储库启用这些功能以保护代码免于漏洞、未经授权的访问和其他潜在安全威胁的影响。 其中许多功能对于公共存储库是免费的****。

为公共仓库启用或禁用安全和分析功能

你可以管理公共仓库的一部分安全和分析功能。

至少应为公共存储库启用以下功能：

• “Dependabot alerts”通知你项目依赖项网络中的安全漏洞，使你可以将受影响的依赖项更新为更安全的版本****。
• “Secret scanning”扫描存储库中的机密（例如 API 密钥和令牌），并在发现机密时向你发出警报，使你可以从存储库中删除该机密****。
• “推送保护”**** 通过阻止包含受支持的机密的推送，从一开始就阻止你（和你的协作者）将机密引入存储库。
• “Code scanning”识别存储库代码中的漏洞和错误，使你可以尽早修复这些问题，并防止漏洞或错误被恶意参与者所利用漏****。

其他功能对于公共存储库是永久启用的，比如依赖项关系图，它显示了存储库所依赖的所有库和包。

1. 在 GitHub 上，导航到存储库的主页面。

2. 在存储库名称下，单击 “设置”。 如果看不到“设置”选项卡，请选择“”下拉菜单，然后单击“设置”。

   

3. 在边栏的“Security”部分中，单击“ Code security”****。

4. 在“Code security”下的相应功能右侧，单击“Disable”或“Enable”。********

为专用存储库启用或禁用安全和分析功能

可以管理专用或内部存储库的安全和分析功能。 如果企业或组织拥有 GitHub Advanced Security 许可证，则还有其他选项可供选择。 有关详细信息，请参阅“关于 GitHub 高级安全性”。

如果启用了安全和分析功能，GitHub 将对存储库执行只读分析。

1. 在 GitHub 上，导航到存储库的主页面。

2. 在存储库名称下，单击 “设置”。 如果看不到“设置”选项卡，请选择“”下拉菜单，然后单击“设置”。

   

3. 在边栏的“Security”部分中，单击“ Code security”****。

4. 在“Code security”下的相应功能右侧，单击“Disable”或“Enable”。********

   Note

   如果禁用 GitHub Advanced Security，将禁用依赖项评审、用户的机密扫描警报 和 code scanning。 任何工作流程、SARIF 上传或 code scanning 的 API 调用都将失败。 如果已重新启用 GitHub Advanced Security，code scanning 将恢复其之前的状态。

授予对安全警报的访问权限

GitHub 安全警报是自动通知，在存储库的依赖项或代码中找到漏洞时通知你。 这些通知提示你查看并修正这些问题，帮助确保项目安全。

可以在存储库的“Security”选项卡下，从 Dependabot、Secret scanning 和 Code scanning 中找到安全警报****。

对存储库具有写入、维护或管理员访问权限的人员可以看到存储库的安全警报，如果存储库归组织所有，则组织所有者也可以看到。 你可以授予其他团队和人员访问警报。

1. 在 GitHub 上，导航到存储库的主页面。

2. 在存储库名称下，单击 “设置”。 如果看不到“设置”选项卡，请选择“”下拉菜单，然后单击“设置”。

   

3. 在边栏的“Security”部分中，单击“ Code security”****。

4. 在“Access to alerts（访问警报）”下，在搜索字段中开始键入你要查找的个人或团队的名称，然后单击匹配列表中的名称。

5. 单击“保存更改”。

删除对安全警报的访问权限

1. 在 GitHub 上，导航到存储库的主页面。

2. 在存储库名称下，单击 “设置”。 如果看不到“设置”选项卡，请选择“”下拉菜单，然后单击“设置”。

   

3. 在边栏的“Security”部分中，单击“ Code security”****。

4. 在“警报访问权限”下，在要删除其访问权限的个人或团队的右侧，单击 。

   

5. 单击“保存更改”。

其他阅读材料

• 保护存储库快速入门
• 管理组织的安全和分析设置