管理对 GitHub Advanced Security 的访问权限

  • 5 分钟

在上一单元中,你已了解如何根据企业计划启用 GitHub 高级安全性。

本单元逐步讲解如何为项目配置 GitHub 高级安全性。 本文介绍如何管理对安全警报的访问,以及如何在组织和存储库级别设置安全策略。

管理对安全警报的访问

为项目设置 GitHub 高级安全性时,需要确保组织中的正确人员可以查看和解决任何警报。 查看这些警报所需的角色和权限取决于警报的类型。

下表显示了查看存储库 “安全 ”选项卡中每种类型的警报所需的最低角色和权限:

安全警报的类型 所需的角色和权限
代码扫描警报 对存储库的写入权限
机密扫描警报 存储库管理员和组织所有者
Dependabot 警报 存储库管理员和组织所有者

此外,存储库管理员和组织所有者可以在存储库安全和分析设置中,向具有写入权限的用户和团队赋予机密扫描和 Dependabot 警报的访问权限。

使用正确的角色和权限集,安全工作流中涉及的开发人员可以执行以下作:

  • 对于代码扫描警报:提交对代码的更正、消除不需要任何作的警报,或删除警报以清理代码扫描结果。
  • 对于机密扫描警报:删除检测到的机密,创建新令牌,更新使用检测到机密的代码,或消除不需要任何行动的警报。
  • 对于 Dependabot 警报:更新易受攻击的依赖项或忽略不需要任何操作的警报。

在组织级别设置安全策略

若要确保组织中的每个人都使用 GitHub 高级安全,最好是在组织级别设置安全策略。 例如,可以设置一个策略,允许组织中的所有存储库管理员为其存储库启用高级安全性功能。

可以为企业帐户拥有的所有组织或你选择的各个组织配置策略。

按照以下步骤在组织级别设置安全策略:

  1. 在企业边栏中,导航到 “策略 > 高级安全性”。

  2. GitHub 高级安全性下,选择下拉菜单,并为企业拥有的组织选择策略。

    安全策略下拉列表的屏幕截图。

  3. (可选)如果选择了组织右侧的“允许所选组织”,请选择下拉菜单以允许或禁用组织的“高级安全”。 禁止组织的高级安全性可防止存储库管理员为其他存储库启用高级安全功能,但它不会禁用已启用这些功能的存储库的功能。

    单个组织安全策略下拉列表的屏幕截图。

注释

请记住,在组织级别设置策略时,GitHub 会按每位提交者为高级安全功能收取费用。

在存储库级别设置安全策略

设置 GitHub 项目时同样重要的是记录如何报告项目的安全漏洞。 为此,可以将文件添加到 SECURITY.md 项目存储库的根 docs目录或 .github 文件夹。 然后,当某人在存储库中创建问题时,他们会看到指向项目安全策略的链接。

有人报告项目中的安全漏洞后,可以使用 GitHub 安全公告来披露、修复和发布有关漏洞的信息。

按照以下步骤在存储库级别设置安全策略:

  1. 在你的存储库中,导航到 安全 > 安全策略
  2. 选择 “开始设置”。
  3. 在新的 SECURITY.md 文件中,添加有关项目的受支持版本以及如何报告漏洞的信息。
  4. 将更改提交至存储库。