简介
本指南向您展示如何配置仓库的安全功能。 您必须是仓库管理员或组织所有者才能配置仓库的安全设置。
您的安全需求是仓库独有的,因此您可能不需要启用仓库的每个功能。 更多信息请参阅“GitHub 安全功能”。
某些安全功能仅适用于您具有 Advanced Security 许可的组织拥有的仓库。 更多信息请参阅“关于 GitHub Advanced Security”。
管理对仓库的访问
保护仓库的第一步是设置谁可以查看和修改您的代码。 更多信息请参阅“管理仓库设置”。
从仓库主页点击 设置,然后向下滚动到“危险区”。
- 要更改谁可以查看您的仓库,请点击 Change visibility(更改可见性)。 更多信息请参阅“设置仓库可见性”。
设置安全策略
- 从仓库的主页点击 Security(安全性)。
- 点击 Security policy(安全策略)。
- 单击 Start setup(开始设置)。
- 添加关于项目受支持版本以及如何报告漏洞的信息。
更多信息请参阅“添加安全政策到仓库”。
管理依赖关系图
依赖关系图对 所有公共仓库自动生成,您也可以选择对私有仓库 启用。
- 从仓库的主页点击 Settings(设置)。
- 点击 Security & analysis(安全和分析)。
- 在依赖关系图旁边,单击 Enable(启用)或 Disable(禁用)。
更多信息请参阅“探索仓库的依赖项”。
管理 Dependabot 警报
默认情况下,GitHub 会检测公共仓库中的漏洞,并生成 Dependabot 警报。 也可对私有仓库启用 Dependabot 警报。
- 单击您的个人资料照片,然后单击 Settings(设置)。
- 点击 Security & analysis(安全和分析)。
- 单击 Dependabot 警报 旁边的 Enable all(全部启用)。
更多信息请参阅“关于漏洞依赖项的警报”。
配置 代码扫描
代码扫描 可用于您有 Advanced Security 许可的组织拥有的私有仓库。
您可以设置 代码扫描 使用 CodeQL 分析工作流程 或第三方工具自动识别仓库中存储的代码中的漏洞和错误。 更多信息请参阅“为仓库设置 代码扫描”。
配置 秘密扫描
秘密扫描 可用于您有 Advanced Security 许可的组织拥有的私有仓库。
根据您的组织设置,默认情况下您的仓库可以启用秘密扫描。
- 从仓库的主页点击 Settings(设置)。
- 点击 Security & analysis(安全和分析)。
- 如果 GitHub Advanced Security 尚未启用,请点击 Enable(启用)。
- 在 秘密扫描 旁边,单击 Enable(启用)。
后续步骤
您可以查看和管理来自安全功能的警报,以解决代码中的依赖项和漏洞。 更多信息请参阅 “查看和更新仓库中的漏洞依赖项”、 “管理仓库的 代码扫描”和“管理来自 秘密扫描 的警报”。