强制实施企业的代码安全性和分析策略

可以强制实施策略来管理企业组织中代码安全性和分析功能的使用。

谁可以使用此功能?

Enterprise owners

GitHub Code Security 和 GitHub Secret Protection 可用于 GitHub Team 上的帐户和 GitHub Enterprise Cloud。

某些功能也可免费用于 GitHub.com 上的公共存储库。有关详细信息,请参阅 GitHub的计划

有关 GitHub Advanced Security for Azure DevOps 的信息,请参阅 Microsoft Learn 中的配置 GitHub Advanced Security for Azure DevOps

在本文中

关于在企业中使用安全功能的策略

可以强制实施策略来管理企业拥有的组织中安全功能的使用。 可以允许或禁止具有存储库管理员访问权限的人员启用或禁用安全性和分析功能。

此外,你还可以强制实施策略,以便在企业的组织和存储库中使用 GitHub Secret Protection, GitHub Code Security and GitHub Code Quality (公共预览版), or GitHub Advanced Security。

在企业所属组织中强制执行 Advanced Security 可用性策略

GitHub Secret Protection, GitHub Code Security, and GitHub Advanced Security 产品按提交者收费。 请参阅“GitHub Advanced Security 许可证计费”。

你可以执行策略来控制仓库管理员是否被允许在组织的仓库中为 Advanced Security 启用功能。 您可以为企业帐户拥有的所有组织或您选择的单个组织配置策略。

禁止使用 GitHub Secret Protection, GitHub Code Security and GitHub Code Quality (公共预览版), or GitHub Advanced Security 对于某个组织会阻止存储库管理员为其他存储库启用这些功能,但不会禁用那些已经启用了这些功能的存储库中的功能。

注意

确切地说,此策略仅影响存储库管理员。 无论如何设置此策略,组织所有者和安全经理都可以始终启用安全功能。 有关详细信息,请参阅“组织中的角色”。

  1. 导航到您的企业。 例如,从 GitHub.com 上的 公司 页面。

  2. 在页面顶部,单击“ Policies”。

  3. “Policies”下,单击“Advanced Security”****。

  4. 在“Advanced Security”页面的“Policies”选项卡上,选择下拉菜单,然后单击企业拥有的组织的策略。

  5. (可选)如果选择“Allow for selected organizations”****,可在组织右侧选择下拉菜单,以定义组织可使用哪些 Advanced Security 产品。

    用于为企业中的选定组织选择 Advanced Security 策略的下拉菜单的屏幕截图。 框出了下拉列表。

注意

如果 GitHub Actions 对一个组织不可用,那么 code scanning 和 GitHub Code Quality 将无法运行,即使它们根据此策略可用也不例外。 请参阅“在企业中强制实施GitHub Actions策略”。

实施依赖性见解的可见性策略

依赖性见解显示企业组织内的存储库所依赖的所有开源项目。 依赖性见解包括有关安全公告和许可的汇总信息。 有关详细信息,请参阅“查看组织中依赖项的见解”。

在企业拥有的所有组织中,您可以控制组织成员是否可以查看依赖性见解。 您还可以允许所有者在组织级别管理设置。 有关详细信息,请参阅“更改组织依赖关系洞察的可见性”。

  1. 导航到您的企业。 例如,从 GitHub.com 上的 公司 页面。

  2. 在页面顶部,单击“ Policies”。

  3. “Policies”下,单击“Advanced Security”****。

  4. 在“Policies”部分的“Dependency insights”下,查看有关更改设置的信息。

  5. (可选)若要在更改设置之前查看企业帐户中所有组织的当前配置,请单击“ View your organizations' current configurations”****。

    企业设置中某策略的屏幕截图。 框出了标有“查看组织的当前配置”的链接。

  6. 在“依赖项见解”下,选择下拉菜单并单击一个策略。

强制实施策略以管理企业中 Dependabot alerts 的使用

在企业拥有的所有组织中,可以允许具有存储库管理员权限的成员启用或禁用 Dependabot alerts 和更改 Dependabot alerts 设置。

注意

确切地说,此策略仅影响存储库管理员。 无论如何设置此策略,组织所有者和安全经理都可以始终启用安全功能。 有关详细信息,请参阅“组织中的角色”。

  1. 导航到您的企业。 例如,从 GitHub.com 上的 公司 页面。
  2. 在页面顶部,单击“ Policies”。
  3. “Policies”下,单击“Advanced Security”****。
  4. 在“Policies”部分的“Enable or disable Dependabot alerts by repository admins”下,请使用下拉菜单选择策略。

实施策略以管理企业仓库中 Advanced Security 功能的使用情况

在企业的所有组织中,可以通过策略允许或禁止具有仓库管理员权限的人员管理这些仓库中 Advanced Security 功能的使用情况。

  1. 导航到您的企业。 例如,从 GitHub.com 上的 公司 页面。

  2. 在页面顶部,单击“ Policies”。

  3. “Policies”下,单击“Advanced Security”****。

  4. 在“策略”部分中的“存储库管理员可以启用或禁用 PRODUCT”下面,使用下拉菜单确定存储库管理员是否可以更改 GitHub Secret Protection, GitHub Code Security and GitHub Code Quality (公共预览版), or GitHub Advanced Security 的启用状态。

强制实施策略以管理企业仓库中 secret scanning 通用机密检测的使用情况

在企业的所有组织中,可以允许或禁止具有存储库管理员访问权限的人员在 secret scanning 中管理和配置存储库的 AI 检测。 此策略仅在允许仓库管理员更改 Secret Protection 的启用状态时才会生效(由“仓库管理员可启用或禁用机密保护”策略控制)。

  1. 导航到您的企业。 例如,从 GitHub.com 上的 公司 页面。
  2. 在页面顶部,单击“ Policies”。
  3. “Policies”下,单击“Advanced Security”****。
  4. 在“Policies”部分的“AI detection in secret scanning”下,选择下拉菜单并单击一个策略。

强制实施策略来管理企业存储库中 Copilot自动修复 的使用

在所有企业组织中,如果对 Code Security 结果启用了 Copilot自动修复,那么你可以允许或禁止具有存储库管理员访问权限的人员进行管理。 必须为组织启用 GitHub Code Security,此策略才能生效。

  1. 导航到您的企业。 例如,从 GitHub.com 上的 公司 页面。
  2. 在页面顶部,单击“ Policies”。
  3. “Policies”下,单击“Advanced Security”****。
  4. 在“策略”部分中的“Copilot自动修复”下面,选择下拉菜单并单击一个策略。

注意

此策略仅控制是否对 code scanning 安全查询找到的结果使用 Copilot自动修复。 Copilot自动修复 是 GitHub Code Quality 的组成部分,并且不能对该功能禁用。