Создание настраиваемой конфигурации безопасности

Создайте A custom security configuration так, чтобы удовлетворить конкретные потребности репозиториев в вашей организации.

Кто может использовать эту функцию?

Владельцы организации, руководители безопасности и члены организации с ролью администратора

В этой статье

Около custom security configurations

С custom security configurationsпомощью , вы можете создавать наборы настроек поддержки для GitHubпродуктов безопасности , чтобы удовлетворить конкретные потребности вашей организации. Например, вы можете создать уникальный custom security configuration стандарт для каждой организации или группы организаций, отражающий их уникальные требования к безопасности и обязательства по соблюдению требований.

Вы также можете выбрать, хотите ли включать GitHub Code Security функции GitHub Secret Protection в конфигурацию.

Если да, имейте в виду, что эти функции требуют затрат на использование (или требуют GitHub Advanced Security лицензий) при применении к частным и внутренним репозиториям. Дополнительные сведения см. в разделе О GitHub Advanced Security.

При создании конфигурации безопасности следует учитывать:

  • В интерфейсе будут отображаться только функции, установленные администратором сайта на вашем GitHub Enterprise Server инстансе.

  •         Некоторые функции будут видны только если ваша организация или инстанс приобрели соответствующий GitHub Advanced Security продукт (GitHub Code Securityили GitHub Secret Protection).GitHub Enterprise Server

  • Некоторые функции, такие как Dependabot security updates настройка code scanning по умолчанию, также требуют установки GitHub Actions на GitHub Enterprise Server инстансе.

            >[!IMPORTANT]
        > Порядок и имена некоторых параметров будут отличаться в зависимости от того, используете ли вы лицензии для исходного продукта GitHub Advanced Security или для двух новых продуктов: GitHub Code Security и GitHub Secret Protection. См. [Создание GitHub Advanced Security конфигурации](#creating-a-github-advanced-security-configuration) или [создание Secret Protection and Code Security конфигурации](#creating-a-secret-protection-and-code-security-configuration).

Создание Secret Protection and Code Security конфигурации

  1. В правом верхнем углу GitHub, щелкните рисунок профиля, а затем выберите октикона "организация" aria-hidden="true" aria-label="organization" %} Ваши организации.

  2. Под именем организации щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

    Снимок экрана: вкладки в профиле организации. Вкладка "Параметры" выделена темно-оранжевым цветом.

  3. В разделе «Безопасность» боковой панели выберите выпадающее меню Advanced Security , затем нажмите Configurations.

  4. В разделе «Security configurations» нажмите « Новая конфигурация».

  5. Чтобы настроить группы функций безопасности для ваших репозиториев, нажмите «Пользовательская настройка».

  6. Чтобы помочь определить и custom security configuration прояснить её назначение на странице «Security configurations», назовите свою конфигурацию и создайте описание.

  7. Опционально включите «Secret Protection», платную функцию для приватных репозиториев. Включение Secret Protection позволяет получать оповещения для secret scanning. Кроме того, вы можете выбрать, включить, отключить или сохранить существующие настройки для следующих secret scanning функций: * Шаблоны, отличные от поставщика. Чтобы узнать больше о сканировании паттернов, не связанных с поставщиком, см. разделы AUTOTITLE и AUTOTITLE. * Защита от отправки. Чтобы узнать о защите от push, см. Сведения о защите push-уведомлений. * Обход привилегий. Назвав привилегии, выбранные акторы могут обойти защиту push. Для всех остальных участников существует процесс проверки и утверждения. См. Сведения о делегированной обходе для защиты от push-уведомлений. * Запрет прямого увольнения оповещений. Чтобы узнать больше, смотрите Включение делегированного увольнения оповещений для сканирования секретов.

  8. Опционально включите «Code Security», платную функцию для приватных репозиториев. Вы можете выбрать, включить, отключить или сохранить существующие настройки для следующих code scanning функций: * Настройка по умолчанию. Дополнительные сведения о настройке по умолчанию см. в разделе Настройка настройки по умолчанию для сканирования кода.

Примечание.

Чтобы создать конфигурацию, которую можно применить ко всем репозиториям независимо от текущей установки code scanning выберите "Включено с разрешенной настройкой". Этот параметр включает настройку по умолчанию только в репозиториях, где не выполняется анализ CodeQL . Параметр, доступный из GitHub Enterprise Server 3.19.

  •      **Тип** runner. Если вы хотите нацелиться на конкретных бегунов code scanning, на этом этапе можно выбрать специальные бегунки с индивидуальной маркировкой. См. [AUTOTITLE](/code-security/code-scanning/enabling-code-scanning/configuring-default-setup-for-code-scanning#assigning-labels-to-runners). 

* 

          **Запрет прямого увольнения оповещений**. Чтобы узнать больше, смотрите [AUTOTITLE](/code-security/code-scanning/managing-your-code-scanning-configuration/enabling-delegated-alert-dismissal-for-code-scanning).

  1. В таблице «Сканирование зависимостей» всё ещё под "Code Security", выберите — включить, отключить или сохранить существующие настройки для следующих функций сканирования зависимостей: * Граф зависимостей. Дополнительные сведения о граф зависимостей см. в разделе Сведения о графе зависимостей.

    Совет

    Когда включены и "Code Security", и граф зависимостей, это включает проверку зависимостей, см. Сведения о проверке зависимостей.

    •      **
     Dependabot Оповещения**. Чтобы узнать больше Dependabot, см. [AUTOTITLE](/code-security/dependabot/dependabot-alerts/about-dependabot-alerts).

    •      **Обновления безопасности**. Чтобы узнать об обновлениях безопасности, смотрите [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates).

  2. При необходимости в разделе "Политика" можно использовать дополнительные параметры для управления применением конфигурации: * Используйте в качестве значения по умолчанию для вновь созданных репозиториев. Выберите выпадающее меню «Нет », затем выберите «Публичный», «Приватный» и «Внутренний» или «Все репозитории».

    Примечание.

    По умолчанию security configuration для организации автоматически применяется только к новым репозиториям, созданным в вашей организации. Если репозиторий передается в вашу организацию, вам по-прежнему потребуется применить соответствующие security configuration к репозиторию вручную.

    •      **Принудительное применение конфигурации**. Блокировать владельцев репозитория от изменения функций, которые включены или отключены конфигурацией (функции, которые не заданы, не применяются). Выберите **"Применить"** в раскрывающемся меню.

    Примечание.

    Некоторые ситуации могут нарушить соблюдение security configurations. См . раздел AUTOTITLE.

  3. Чтобы завершить создание custom security configuration, нажмите Сохранить конфигурацию.

Создание GitHub Advanced Security конфигурации

  1. В правом верхнем углу GitHub, щелкните рисунок профиля, а затем выберите октикона "организация" aria-hidden="true" aria-label="organization" %} Ваши организации.

  2. Под именем организации щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

    Снимок экрана: вкладки в профиле организации. Вкладка "Параметры" выделена темно-оранжевым цветом.

  3. В разделе «Безопасность» боковой панели выберите выпадающее меню Advanced Security , затем нажмите Configurations.

  4. В разделе "Конфигурации безопасности" нажмите кнопку "Создать конфигурацию".

  5. Чтобы помочь определить и custom security configuration прояснить её назначение на странице «Новая конфигурация», назовите свою конфигурацию и создайте описание.

  6. В строке «GitHub Advanced Security особенности» выберите включать или исключать GitHub Advanced Security (GHAS) функции.

  7. В таблице «Secret scanning» выберите — включить, отключить или сохранить существующие настройки для следующих функций безопасности: * Оповещения. Чтобы узнать больше Оповещения о сканировании секретов, см. Сведения о проверке секретов. * Шаблоны, отличные от поставщика. Чтобы узнать больше о сканировании паттернов, не связанных с поставщиком, см. разделы AUTOTITLE и AUTOTITLE. * Защита от отправки. Чтобы узнать о защите от push, см. Сведения о защите push-уведомлений. * Обход привилегий. Назвав привилегии, выбранные акторы могут обойти защиту push. Для всех остальных участников существует процесс проверки и утверждения. См. Сведения о делегированной обходе для защиты от push-уведомлений. * Запрет прямого увольнения оповещений. Чтобы узнать больше, смотрите Включение делегированного увольнения оповещений для сканирования секретов.

  8. В таблице "Code scanning" выберите включить, отключить или сохранить существующие настройки для code scanning настройки по умолчанию. * Настройка по умолчанию. Дополнительные сведения о настройке по умолчанию см. в разделе Настройка настройки по умолчанию для сканирования кода.

Примечание.

Чтобы создать конфигурацию, которую можно применить ко всем репозиториям независимо от текущей установки code scanning выберите "Включено с разрешенной настройкой". Этот параметр включает настройку по умолчанию только в репозиториях, где не выполняется анализ CodeQL . Параметр, доступный из GitHub Enterprise Server 3.19.

  •      **Тип** runner. Если вы хотите нацелиться на конкретных бегунов code scanning, на этом этапе можно выбрать специальные бегунки с индивидуальной маркировкой. См. [AUTOTITLE](/code-security/code-scanning/enabling-code-scanning/configuring-default-setup-for-code-scanning#assigning-labels-to-runners). 

* 

          **Запрет прямого увольнения оповещений**. Чтобы узнать больше, смотрите [AUTOTITLE](/code-security/code-scanning/managing-your-code-scanning-configuration/enabling-delegated-alert-dismissal-for-code-scanning).

  1. В таблице "Проверка зависимостей" выберите, следует ли включить, отключить или сохранить существующие параметры для следующих функций проверки зависимостей: * Граф зависимостей. Дополнительные сведения о граф зависимостей см. в разделе Сведения о графе зависимостей.

    Совет

    Когда включены и "GitHub Advanced Security", и граф зависимостей, это включает проверку зависимостей, см. Сведения о проверке зависимостей.

    •      **
     Dependabot Оповещения**. Чтобы узнать больше Dependabot, см. [AUTOTITLE](/code-security/dependabot/dependabot-alerts/about-dependabot-alerts).

    •      **Обновления безопасности**. Чтобы узнать об обновлениях безопасности, смотрите [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates).

  2. При необходимости в разделе "Политика" можно использовать дополнительные параметры для управления применением конфигурации: * Используйте в качестве значения по умолчанию для вновь созданных репозиториев. Выберите выпадающее меню «Нет », затем выберите «Публичный», «Приватный» и «Внутренний» или «Все репозитории».

    Примечание.

    По умолчанию security configuration для организации автоматически применяется только к новым репозиториям, созданным в вашей организации. Если репозиторий передается в вашу организацию, вам по-прежнему потребуется применить соответствующие security configuration к репозиторию вручную.

    •      **Принудительное применение конфигурации**. Блокировать владельцев репозитория от изменения функций, которые включены или отключены конфигурацией (функции, которые не заданы, не применяются). Выберите **"Применить"** в раскрывающемся меню.

  3. Чтобы завершить создание custom security configuration, нажмите Сохранить конфигурацию.

Дальнейшие шаги

Чтобы применить свои custom security configuration данные к репозиториям вашей организации, смотрите Применение настраиваемой конфигурации безопасности.

Сведения об изменении данных custom security configurationсм. в разделе Изменение настраиваемой конфигурации безопасности.