关于安全概览

您可以使用安全概览洞悉组织或企业的整体安全格局,并识别需要介入的仓库。

谁可以使用此功能?

安全概览适用于所有由 GitHub Team 或 GitHub Enterprise 拥有且已进行机密风险评估的组织。

以下情况提供额外视图:

  • 拥有 GitHub Secret Protection 或 GitHub Code Security 的 GitHub Team 账户所拥有的组织
  • 由 GitHub Enterprise 账户拥有的组织

运行安全风险评估

本文内容

安全概览提供对组织中仓库代码安全性的洞察。

  • 所有组织 在 GitHub Team 上可以使用免费的 机密风险评估 来评估其组织对泄露机密的暴露程度,参见 查看您的安全风险评估报告
  • 购买了 GitHub Secret Protection 或 GitHub Code Security 的 GitHub Team 账户可访问提供额外洞察的视图。

以下信息描述了拥有 GitHub Secret Protection 或 GitHub Code Security 的组织可使用的视图,您可借此识别安全警报的检测、整改和预防趋势,并深入了解仓库的当前状态。

关于视图

注意

所有视图均显示您有权限在组织或企业中查看的仓库的 默认 分支的信息和指标。

这些视图是交互式的,带有过滤器,可让您深入查看聚合数据,识别高风险来源,了解安全趋势,以及查看拉取请求分析在阻止安全漏洞进入代码方面的影响。当您应用多个过滤器以聚焦更窄的兴趣范围时,视图中的所有数据和指标都会随当前选择而变化。更多信息,请参见 在安全概览中筛选警报

在安全概览中,您可以下载包含组织或企业安全概览多个页面数据的逗号分隔值(CSV)文件。这些文件可用于安全研究和深入数据分析,并能轻松与外部数据集集成。更多信息,请参见 从安全概览导出数据

每种安全警报都有专门的视图。您可以将分析限定于特定类型的警报,然后使用针对每个视图的多种过滤器进一步缩小结果范围。例如,在机密扫描视图中,您可以使用“机密类型”过滤器,仅查看特定机密(如 GitHub 个人访问令牌)的机密扫描警报。

注意

安全概览显示安全功能产生的活动警报。如果安全概览中未显示某个仓库的警报,仍可能存在未检测到的安全漏洞或代码错误,或该仓库未启用相应功能。

关于组织的安全概览

贵公司应用安全团队可以使用不同的视图对组织的安全状态进行广泛或具体的分析。例如,团队可以使用“概览”仪表板视图来跟踪组织的安全格局及其演变。

您可以在任何组织的 安全与质量 选项卡中找到安全概览。每个视图显示您可访问的数据摘要。随着您添加过滤器,视图中的所有数据和指标都会根据您选择的仓库或警报进行更新。

安全概览拥有多个视图,提供不同方式来探索启用情况和警报数据。

  • 概览: 可视化 检测整改预防 安全警报的趋势。有关访问和使用仪表板的信息,请参见 查看安全洞察。有关指标和计算的详细说明,请参见 安全概览仪表板指标
  • 风险: 探索所有类型安全警报的风险,或聚焦单一警报类型,识别来自特定易受影响依赖、代码弱点或泄露机密的风险,参见 评估代码安全风险
  • 覆盖率: 评估组织中仓库对安全功能的采用情况,参见 评估安全功能的采用情况
  • 评估: 无论高级安全功能的启用状态如何,GitHub Team 和 GitHub Enterprise 上的组织都可以运行免费报告,扫描组织代码中的泄露机密,参见 关于 GitHub 的机密安全
  • 活动: 协调并衡量有针对性的整改工作,将相关安全任务跨仓库分组,分配负责人,并跟踪实现定义的风险降低目标的进展。
  • 启用情况: 查看不同团队采用安全功能的速度。
  • CodeQL 拉取请求: 评估在拉取请求上运行 CodeQL 的影响,以及开发团队如何解决代码扫描警报,参见 查看拉取请求警报的指标
  • Dependabot:通过识别、整改并衡量跨仓库的安全改进,优先处理并跟踪关键漏洞。
  • 机密扫描: 了解哪些类型的机密被推送保护阻止,哪些团队绕过了推送保护,参见 查看机密扫描推送保护的指标审查绕过推送保护的请求

您还可以创建并管理安全活动,以整改安全概览中的警报,参见 创建和管理安全活动运行安全活动以大规模修复警报

关于企业的安全概览

您可以在您的企业的 安全与质量 选项卡中找到安全概览。每个页面展示企业的聚合及特定仓库的安全信息。

企业的安全概览拥有多个视图,提供不同方式来探索数据,包括可视化警报趋势的概览仪表板。有关仪表板的信息,请参见 查看安全洞察安全概览仪表板指标

安全概览中的数据访问

您在安全概览中能看到的内容取决于您在组织或企业中的角色和权限。

一般来说

  • 组织所有者和安全管理员 可以查看其组织中所有仓库的安全数据。
  • 组织成员 只能查看其有权限查看安全警报的仓库数据。
  • 企业所有者 可以在企业级安全概览中查看其作为组织所有者或安全管理员的组织的聚合安全数据。若要查看仓库级别的细节,他们必须在相应组织中拥有相应角色。

安全概览仅显示您有权限查看的仓库数据,某些视图或操作可能会根据您的角色受到限制。

有关详细的角色‑权限信息,包括哪些视图可用以及仓库访问如何影响可见性,请参见 安全概览权限

了解仪表板数据准确性

概览仪表板基于仓库的当前状态以及安全警报的历史状态显示指标。此数据模型对数据一致性有重要影响。

数据随时间变化: 当在不同时间查看相同的历史时间段时,仪表板指标可能会变化。这会在仓库被删除、安保通告被修改或其他更改影响底层数据时发生。若您需要在合规报告或审计中使用一致的数据,请改用审计日志。参见 审计安全警报

警报数据是历史的;仓库属性是当前的: 仪表板根据选定时间段内警报的历史状态进行跟踪。然而,仓库过滤器(如已归档/活跃状态)反映的是仓库的当前状态

例如,如果您今天将仓库归档,则该仓库中的所有打开警报会自动关闭。随后,如果您查看上周的概览仪表板

  • 只有当您筛选显示已归档仓库时(其当前状态),该仓库才会出现
  • 该仓库的警报会显示为打开(它们在上周的状态)

此设计确保警报趋势准确反映您分析的时间段内的安全活动,而仓库过滤器帮助您聚焦于当前的仓库结构。

延伸阅读

© . This site is unofficial and not affiliated with GitHub, Inc.