关于安全性概述
安全概览提供组织或企业的安全状态的概略性摘要,并便于识别需要干预的有问题的存储库。 还可以使用安全概览来查看哪些存储库启用了特定的安全功能,并配置当前未使用的任何可用安全功能。
安全性概述显示了为存储库启用的安全功能,并整合了每个功能的警报。
- 显示所有存储库中有关 Dependabot 功能和警报的风险和覆盖范围信息。
有关详细信息,请参阅“关于 Dependabot 警报,"“关于机密扫描”以及“关于 GitHub 高级安全性。”
关于筛选和排序警报
安全性概述提供了一种强大的方法来了解一组存储库的安全性。 视图与筛选器交互,可用于钻取聚合数据并确定高风险的来源或低功能覆盖范围。 当应用多个筛选器来专注于更窄的兴趣区域时,视图中的数据会发生变化以反映你的选择。 有关详细信息,请参阅“筛选安全概述中的警报”。
对于每种类型的安全警报,还有专用视图,可用于将分析限制为一组特定的警报,然后使用特定于每个视图的各种筛选器进一步缩小结果范围。 例如,在 secret scanning 警报视图中,可以使用 Secret type 筛选器仅查看特定机密(如 GitHub personal access token)的 机密扫描警报。
注意:安全性概述显示由安全功能引发的活动警报。 如果仓库的安全概述中没有警报,则可能仍然存在未检测到的安全漏洞或代码错误。
关于组织级安全性概述
注意:“安全风险”和“安全范围”视图目前为 beta 版本,可能会随时发生更改。
可以在企业拥有的任何组织的“安全性”选项卡上找到安全性概述。 每个视图显示可以向下钻取的聚合数据,添加每个筛选器时,数据会更新以反映所选的存储库或警报。
公司的应用程序安全团队可以使用不同的视图对组织的安全状态进行广泛和具体的分析。 例如,在推出 GitHub Advanced Security 时,团队可以使用“安全覆盖范围”页来监视整个组织或特定团队对功能的采用情况,或使用“安全风险”页识别具有五个以上打开的 机密扫描警报 的存储库。
组织的组织所有者和安全管理员有权访问组织的安全性概述。 组织成员还可以访问组织级安全性概述,以查看他们拥有管理员权限或已被授予安全警报访问权限的存储库的结果。 有关管理安全警报访问的详细信息,请参阅“管理存储库的安全和分析设置”。
“安全风险”视图
此视图显示有关受不同类型的安全警报影响的存储库的数据。
- 使用“团队”下拉菜单以仅显示由一个或多个团队拥有的存储库的信息。
- 对于任何类型的警报,单击标头中的“受影响的编号”或“不受影响的编号”,以仅显示具有或不具有该类型警报的存储库 。
- 单击标头中“打开警报”的任何说明,以仅显示具有该类型和类别的警报的存储库。 例如,单击“1 关键”以显示存储库中 Dependabot 的关键警报。
- 单击“已存档的编号”,以仅显示已存档的存储库。
- 单击搜索框以显示全套可用筛选器的列表。
“安全覆盖范围”视图
此视图显示有关组织中的存储库使用哪些安全功能的数据。 可以使用链接、下拉菜单和搜索字段筛选视图以显示感兴趣的存储库。
- 使用“团队”下拉菜单以仅显示由一个或多个团队拥有的存储库的信息。
- 单击任何功能的标头中的“已启用的编号”或“未启用的编号”,以仅显示已启用或未启用该功能的存储库 。
- 单击“已存档的编号”,以仅显示已存档的存储库。
- 单击搜索框以显示全套可用筛选器的列表。
此外,你可以单击任何存储库的“ 安全设置”,以启用具有一键式设置的安全功能。
注意:为组织中符合条件的存储库启用和禁用 code scanning 默认设置的功能目前为 beta 版本,随时可能发生更改。 在 beta 版本期间,如果为所有存储库禁用 CodeQL code scanning,则此更改将不会反映在组织的安全概述中显示的覆盖范围信息中。 存储库在此视图中仍将显示为已启用 code scanning。
关于企业级安全性概述
可以在企业的“代码安全性”选项卡上找到安全性概述。 每个概述都显示了企业的聚合和特定于存储库的安全信息。 可以查看企业拥有的具有安全警报的存储库、查看整个企业的所有安全警报或特定于安全功能的警报。
企业所有者可以查看所有者或安全经理所属组织的警报。 企业所有者可以作为组织所有者加入组织,以在企业级安全性概述中查看所有警报。 有关详细信息,请参阅“管理企业拥有的组织中的角色”。
企业中组织的组织所有者和安全管理员有权访问企业级安全性概述。 他们可以查看他们具有完全访问权限的组织的存储库和警报。