Skip to main content

关于安全概述

你可以深入了解组织或企业的整体安全状况,并使用安全性概述识别需要干预的存储库。

谁可以使用此功能?

的组织 企业及其组织

安全概述包含集中视图,可在其中探索检测、修正和预防安全警报的趋势,并深入探讨代码库的当前状态。

  • 显示所有存储库中有关 Dependabot 功能和警报的信息。
  • GitHub Advanced Security 功能(如 code scanning 和 secret scanning)的信息对使用 GitHub Advanced Security 的企业以及公共存储库显示。

有关详细信息,请参阅“关于 Dependabot 警报”和“关于 GitHub 高级安全性”。

关于视图

Note

所有视图都显示你有权在组织或企业中查看的存储库的默认分支的信息和指标。

这些视图与筛选器交互,可用于详细查看聚合数据并识别高风险源、查看安全趋势,并查看拉取请求分析对阻止安全漏洞进入代码的影响。 当应用多个筛选器来专注于范围更窄的兴趣区域时,视图中的所有数据和指标会发生变化,以反映当前选择。 有关详细信息,请参阅“筛选安全概述中的警报”。

从安全概览中,可以下载包含来自你的组织或企业安全概览的“Overview”、“Risk”、“Coverage”和“CodeQL pull request alerts”页面数据的逗号分隔值 (CSV) 文件。 此类数据文件可用于安全研究和深度数据分析等工作,并可以轻松地与外部数据集集成。 有关详细信息,请参阅“从安全概览导出数据”。

每种类型的安全警报都有专用视图。 你可以将分析限制为一种特定类型的警报,然后使用特定于每个视图的一系列筛选器进一步缩小结果范围。 例如,在 secret scanning 警报视图中,可以使用“机密类型”筛选器仅查看特定机密(如 GitHub personal access token)的 机密扫描警报。

Note

安全概述显示由安全功能引发的活动警报。 如果存储库的安全概述中未显示警报,则可能仍然存在未检测到的安全漏洞或代码错误,或可能无法为该存储库启用该功能。

关于组织的安全概述

公司的应用程序安全团队可以使用不同的视图对组织的安全状态进行广泛和具体的分析。 例如,团队可以使用“概览”仪表板视图来跟踪组织的安全环境和进度。

可以在任何组织的“安全性”**** 选项卡上找到安全概述。 每个视图都显示你有权访问的数据的摘要。 添加筛选器时,视图中的所有数据和指标都会发生变化,以反映所选的存储库或警报。 有关权限的信息,请参阅“查看安全概述中的数据的权限”。

安全概述具有多个视图,这些视图提供了不同的方法来浏览启用和警报数据。

  • 概述: 可视化检测安全警报的检测修正预防趋势,请参阅“查看安全见解”。
  • 风险和警报视图: 探索所有类型的安全警报的风险,或专注于单个警报类型,并从特定的易受攻击的依赖项、代码漏洞或泄露的机密中识别风险,请参阅“评估代码安全风险”。
  • 覆盖范围: 评估组织中跨存储库采用代码安全功能的情况,请参阅“评估代码安全功能的采用”。
  • 启用趋势: 了解不同团队采用安全功能的速度。
  • CodeQL 拉取请求警报: 评估运行 CodeQL 对拉取请求的影响,以及开发团队如何解决代码扫描警报,请参阅“查看拉取请求警报的指标”。
  • 机密扫描: 了解推送保护阻止了哪些类型的机密以及哪些团队正在绕过推送保护,请参阅“查看机密扫描推送保护的指标 ”和“审阅推送保护绕过请求 ”。

还可创建和管理安全市场活动,以修正安全概览中的警报,请参阅“创建和跟踪安全性活动”和“大规模处理和解决安全警报的最佳做法”。

关于企业的安全概述

可以在企业的“代码安全性”选项卡上找到安全概述。 每个页面都显示了企业的聚合安全信息以及特定于存储库的安全信息。

与组织的安全概述一样,企业安全概述也有多个视图,提供了不同的方法来浏览数据。

有关权限的信息,请参阅“查看安全概述中的数据的权限”。

查看安全概述中的数据的权限

组织级概述

如果你是组织的所有者或安全管理员,你可以在所有视图中看到组织中所有存储库的数据。

如果是组织或团队成员,则可以查看该组织的安全概述,并查看具有适当访问级别的存储库的数据。

组织或团队成员概述仪表板视图风险和警报视图覆盖范围视图
一个或多个存储库的admin访问权限查看这些存储库的数据查看这些存储库的数据查看这些存储库的数据
一个或多个存储库的write访问权限查看这些存储库的 code scanning 和 Dependabot 数据查看这些存储库的 code scanning 和 Dependabot 数据无访问权限
一个或多个存储库的 readtriage 访问权限不允许访问不允许访问不允许访问
一个或多个存储库的安全警报访问权限查看这些存储库的所有安全警报数据查看这些存储库的所有安全警报数据无访问权限
有权查看一种或多种类型的安全警报的自定义组织角色查看允许的针对所有存储库的警报数据查看允许的针对所有视图中所有存储库的警报数据无访问权限

Note

为确保组织成员体验一致且响应迅速,组织级安全概览页面仅显示最近更新的 3,000 个存储库的结果。 如果结果受到限制,页面顶部将显示一条通知。 组织所有者和安全经理将看到所有存储库的结果。

有关安全警报和相关视图的访问权限的详细信息,请参阅“管理存储库的安全和分析设置”和“关于自定义存储库角色”。

企业级概述

Note

如果你是企业所有者,则需要作为组织所有者加入组织,才能在组织级别和企业级别的概览中查看组织存储库的数据。只有对包含已泄露机密的存储库具有管理员权限的人员才能查看安全警报详细信息和警报的令牌元数据。 企业所有者可以出于此目的请求对存储库的临时访问权限。有关详细信息,请参阅“管理企业拥有的组织中的角色”。

在企业级安全概述中,可以查看你作为组织所有者或安全经理的所有组织的数据。 有关详细信息,请参阅“管理企业的 GitHub Advanced Security 功能”。

如果是 具有托管用户的企业 的所有者,则可以在安全概览中查看用户拥有的存储库中的数据,并按存储库所有者类型进行筛选。 有关 托管用户帐户 的详细信息,请参阅“关于 Enterprise Managed Users”。

延伸阅读