关于 custom security configurations
借助 custom security configurations,可以为 GitHub 的安全产品创建启用设置集合,以满足企业的特定安全需求。 例如,可以为每个组织或组织组创建一个不同的 custom security configuration 方法,以反映其独特的安全要求和合规性义务。
创建安全配置时,请记住:
- 只有实例上的 GitHub Enterprise Server 站点管理员安装的功能才会显示在 UI 中。
- GitHub Advanced Security功能仅在企业或GitHub Enterprise Server实例持有GitHub Advanced Security许可证时才可见。
- 某些功能(例如 Dependabot security updates 和 code scanning 默认设置)也需要在 GitHub Actions 实例上安装 GitHub Enterprise Server 。
注意
某些安全功能的启用状态取决于其他更高级别的安全功能。 例如,禁用 机密扫描警报 也会禁用非提供程序模式和推送保护。
-
在 GitHub Enterprise Server 的右上角,单击你的个人资料头像,然后单击“Enterprise settings”****。
-
在页面左侧的企业帐户边栏中,单击 “Settings”********。
-
在左边栏,单击“ Code security”****。
-
在“Configurations”部分,单击“New configuration”****。
-
为了帮助你在“配置”页上识别 custom security configuration 并阐明其用途,请命名配置并创建说明。
-
在“prodname_GHAS features”行中,选择是包含还是排除 prodname_GHAS (GHAS) 功能。 如果打算将具有 GHAS 功能的 custom security configuration 应用到私有存储库,则必须为这些存储库的每位活跃的唯一提交者提供 GHAS 许可证,否则将无法启用这些功能。 请参阅“GitHub Advanced Security 许可证计费”。
-
在安全设置表的“依赖关系图和 Dependabot”部分中,选择要启用、禁用还是保留以下安全功能的现有设置:
Dependabot alerts **。 若要了解Dependabot的相关信息,请参阅[AUTOTITLE](/code-security/dependabot/dependabot-alerts/about-dependabot-alerts)。注意
Dependabot 自动分类规则 不能在企业级别设置。 如果将企业级安全配置应用于存储库,它仍然可以 Dependabot 自动分类规则 启用,但无法在企业级别关闭这些规则。
- 安全更新。 若要了解安全更新,请参阅 关于 Dependabot 安全更新。
注意
你无法手动更改依赖项关系图的启用设置。 此设置由实例级别的站点管理员安装和管理。
-
在安全设置表的“Code scanning”部分中,选择是要启用、禁用还是保留现有设置,以便进行 code scanning 默认设置。 若要了解默认设置,请参阅 配置代码扫描的默认设置。
-
在安全设置表的“Secret scanning”部分中,选择是要启用、禁用还是保留以下安全功能的现有设置:
- 警报。 若要了解机密扫描警报,请参阅关于机密扫描。
- 非提供商模式。 若要详细了解如何扫描非提供程序模式,请参阅 支持的机密扫描模式 和 查看和筛选来自机密扫描的警报。
- 推送保护。 若要了解推送保护,请参阅 关于推送保护。
-
(可选)在“策略”部分中,您可以选择根据存储库的可见性自动将 security configuration 应用于新创建的存储库。 选择 “无 ”下拉菜单,然后单击“ 公共”或“ 专用”和“内部”或“ 所有”存储库。
-
或者,在“策略”部分中,可以强制实施配置并阻止存储库所有者更改配置启用或禁用的功能(将不会强制执行未设置的功能)。 在“强制实施配置”旁边,从下拉菜单中选择“强制实施”。
注意
某些情况可能会破坏 security configurations 的执行。 请参阅“安全配置的强制执行”。
-
若要完成创建 custom security configuration,请单击“ 保存配置”。
后续步骤
若要选择为企业配置其他 secret scanning 设置,请参阅 为企业配置其他机密扫描设置。
若要将 custom security configuration 应用到组织中的存储库,请参阅 删除自定义安全配置。
若要了解如何编辑 custom security configuration,请参阅 编辑自定义安全配置。