为企业创建自定义安全配置

构建一个 custom security configuration 以满足企业的特定安全需求。

谁可以使用此功能?

站点管理员

在本文中

关于 custom security configurations

借助 custom security configurations,可以为 GitHub 的安全产品创建启用设置集合,以满足企业的特定安全需求。 例如,可以为每个组织或组织组创建一个不同的 custom security configuration 方法,以反映其独特的安全要求和合规性义务。

您还可以选择是否在配置中包含GitHub Code Security或GitHub Secret Protection功能。

如果这样做,请记住,这些功能在应用于专用存储库和内部存储库时会产生使用费(或需要 GitHub Advanced Security 许可证)。 有关详细信息,请参阅“关于GitHub高级安全性”。

创建安全配置时,请记住:

  • 只有实例上的 GitHub Enterprise Server 站点管理员安装的功能才会显示在 UI 中。

  •         GitHub Advanced Security功能仅在企业或GitHub Enterprise Server实例持有GitHub Advanced Security、GitHub Code Security或GitHub Secret Protection许可证时才可见。

  • 某些功能(例如 Dependabot security updates 和 code scanning 默认设置)也需要在 GitHub Actions 实例上安装 GitHub Enterprise Server 。

            >[!IMPORTANT]
        > 某些设置的顺序和名称可能会因你使用的许可证不同而有所差异,这取决于使用的是最初的 GitHub Advanced Security 产品的许可证,还是两个新产品(GitHub Code Security 和 GitHub Secret Protection)的许可证。 请参阅 [“创建 GitHub Advanced Security 配置](#creating-a-github-advanced-security-configuration) ”或 [“创建 Secret Protection and Code Security 配置](#creating-a-secret-protection-and-code-security-configuration)”。

创建 Secret Protection and Code Security 配置

  1. 在 GitHub Enterprise Server 的右上角,单击你的个人资料头像,然后单击“Enterprise settings”****。
  2. 在页面顶部,单击 “Settings”********。
  3. 在左边栏,单击“ Advanced Security”****。
  4. 在“”Security configurations部分中,单击“ 新建配置”。
  5. 为了帮助你在“”custom security configuration页面上识别Security configurations并阐明其用途,请命名配置并创建说明。
  6. (可选)启用“Secret Protection”,这一付费功能适用于私有存储库。 启用Secret Protection会为secret scanning启用警报。 此外,还可以选择是启用、禁用还是保留以下 secret scanning 功能的现有设置: * 有效性检查。 若要详细了解合作伙伴模式的有效性检查,请参阅 评估机密扫描警报。 网站管理员必须先启用有效性检查,然后才能使用此功能。 请参阅 为设备配置密码扫描。 * 非提供商模式。 若要详细了解如何扫描非提供程序模式,请参阅 支持的机密扫描模式查看和筛选来自机密扫描的警报。 * 推送保护。 若要了解推送保护,请参阅 关于推送保护。 * 绕过权限。 通过分配绕过特权,所选参与者可以绕过 推送保护。 所有其他参与者的贡献都需要经过评审和审批过程。 请参阅 关于推送保护的委派绕过。 * 防止直接关闭警报。 若要了解详细信息,请参阅 为机密扫描启用委派的警报消除
  7. (可选)启用“Code Security”,这是一项面向专用 存储库的付费功能。 可以选择是启用、禁用还是保留以下 code scanning 功能的现有设置: * 默认设置。 有关默认设置的详细信息,请参阅 配置代码扫描的默认设置

注意

要创建可应用于所有仓库(无论当前 code scanning 设置如何)的配置,请选择“Enabled with advanced setup allowed”。 此设置仅在未积极运行 CodeQL 分析的仓库中启用默认设置。 GitHub Enterprise Server 3.19 中提供的选项。

  •      **运行程序类型**。 如果您想针对code scanning特定的运行器,可以选择在这一步使用自定义标记的运行器。 请参阅 [AUTOTITLE](/code-security/code-scanning/enabling-code-scanning/configuring-default-setup-for-code-scanning#assigning-labels-to-runners)。 

* 

          **防止直接关闭警报**。 若要了解详细信息,请参阅 [AUTOTITLE](/code-security/code-scanning/managing-your-code-scanning-configuration/enabling-delegated-alert-dismissal-for-code-scanning)。

  1. 仍在“Code Security”下,在“依赖项扫描”表中,选择是要启用、禁用还是保留以下依赖项扫描功能的现有设置: * 依赖项关系图。 若要了解依赖项关系图,请参阅“关于依赖关系图”。

    提示

    同时启用Code Security和“依赖项图”后,这将启用依赖项评审,请参阅 关于依赖项评审

    •      **
     Dependabot 警报**。 若要了解Dependabot的相关信息,请参阅[AUTOTITLE](/code-security/dependabot/dependabot-alerts/about-dependabot-alerts)。

    •      **安全更新**。 若要了解安全更新,请参阅 [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates)。

  2. (可选)在“Policy”部分,可以使用其他选项来控制配置的应用方式: * 用作新创建的存储库的默认值。 选择 “无 ”下拉菜单,然后单击“ 公共”、“ 专用”和“内部”或“ 所有”存储库

    注意

    组织的默认 security configuration 仅自动应用到组织内新创建的存储库。 如果将存储库传输到组织,则仍需将适当的 security configuration 手动应用到存储库。

    •      **强制执行配置**。 阻止存储库所有者更改通过配置启用或禁用的功能(不会强制执行未设置的功能)。 从下拉菜单中选择“Enforce”****。

    注意

    某些情况可能会破坏 security configurations 的执行。 请参阅“安全配置的强制执行”。

  3. 若要完成创建 custom security configuration,请单击“ 保存配置”。

创建 GitHub Advanced Security 配置

  1. 在 GitHub Enterprise Server 的右上角,单击你的个人资料头像,然后单击“Enterprise settings”****。
  2. 在页面顶部,单击 “Settings”********。
  3. 在左边栏,单击“ Advanced Security”****。
  4. 在顶部,单击“New configuration”****。
  5. 为了帮助你在“新建配置”页上识别 custom security configuration 并阐明其用途,请命名配置并创建说明。
  6. 在“GitHub Advanced Security features”行中,选择是包含还是排除 GitHub Advanced Security (GHAS)功能。
  7. 在“Secret scanning”表中,选择是要启用、禁用还是保留以下安全功能的现有设置: * 警报。 若要了解机密扫描警报,请参阅关于机密扫描。 * 有效性检查。 若要详细了解合作伙伴模式的有效性检查,请参阅 评估机密扫描警报。 * 非提供商模式。 若要详细了解如何扫描非提供程序模式,请参阅 支持的机密扫描模式查看和筛选来自机密扫描的警报。 * 推送保护。 若要了解推送保护,请参阅 关于推送保护。 * 防止直接关闭警报。 若要了解详细信息,请参阅 为机密扫描启用委派的警报消除
  8. 在“Code scanning”表中,选择是否启用、禁用,或保留code scanning默认设置中的现有设置。 * 默认设置。 若要了解详细信息,请参阅 配置代码扫描的默认设置

注意

要创建可应用于所有仓库(无论当前 code scanning 设置如何)的配置,请选择“Enabled with advanced setup allowed”。 此设置仅在未积极运行 CodeQL 分析的仓库中启用默认设置。 GitHub Enterprise Server 3.19 中提供的选项。

  •      **运行程序类型**。 如果要针对 code scanning 特定运行器,可以在此步骤选择使用自定义标记的运行器。 请参阅 [AUTOTITLE](/code-security/code-scanning/enabling-code-scanning/configuring-default-setup-for-code-scanning#assigning-labels-to-runners)。 

* 

          **防止直接关闭警报**。 若要了解详细信息,请参阅 [AUTOTITLE](/code-security/code-scanning/managing-your-code-scanning-configuration/enabling-delegated-alert-dismissal-for-code-scanning)。

  1. 在“Dependency scanning”表中,选择是启用、禁用还是保留以下依赖扫描功能的现有设置: * 依赖项关系图。 若要了解依赖项关系图,请参阅“关于依赖关系图”。

    提示

    同时启用GitHub Advanced Security和“依赖项图”后,这将启用依赖项评审,请参阅 关于依赖项评审

    •      **
     Dependabot 警报**。 若要了解Dependabot,请参阅[AUTOTITLE](/code-security/dependabot/dependabot-alerts/about-dependabot-alerts)。

    •      **安全更新**。 若要了解安全更新,请参阅 [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates)。

  2. (可选)在“Policy”部分,可以使用其他选项来控制配置的应用方式: * 用作新创建的存储库的默认值。 选择 “无 ”下拉菜单,然后单击“ 公共”、“ 专用”和“内部”或“ 所有”存储库

    注意

    组织的默认 security configuration 仅自动应用到组织内新创建的存储库。 如果将存储库传输到组织,则仍需将适当的 security configuration 手动应用到存储库。

    •      **强制执行配置**。 阻止存储库所有者更改通过配置启用或禁用的功能(不会强制执行未设置的功能)。 从下拉菜单中选择“Enforce”****。

    注意

    某些情况可能会破坏 security configurations 的执行。 请参阅“安全配置的强制执行”。

  3. 若要完成创建 custom security configuration,请单击“ 保存配置”。

后续步骤

若要选择为企业配置其他 secret scanning 设置,请参阅 为企业配置其他机密扫描设置

若要将 custom security configuration 应用到组织中的存储库,请参阅 删除自定义安全配置

若要了解如何编辑 custom security configuration,请参阅 编辑自定义安全配置