Skip to main content

关于安全性概述

可在“安全性概述”页查看、筛选和排序组织或团队拥有的存储库的安全警报。

Who can use this feature

组织所有者和安全管理员可以访问组织级安全概览,还可以通过企业级安全概览跨多个组织查看警报。 企业所有者只能查看添加为组织所有者或安全管理员的组织的存储库和警报。 组织成员可以访问组织级安全概览,以查看他们拥有管理员权限或已被授予安全警报访问权限的存储库的结果。

所有组织和企业都有安全概览。 如果使用 GitHub Advanced Security 功能(对公共存储库免费),你将看到其他信息。 有关详细信息,请参阅“关于 GitHub Advanced Security”。

关于安全性概述

安全概览提供组织或企业的安全状态的概略性摘要,并便于识别需要干预的有问题的存储库。 还可以使用安全概览来查看哪些存储库启用了特定的安全功能,并配置当前未使用的任何可用安全功能。

安全性概述显示了为存储库启用的安全功能,并整合了每个功能的警报。

  • 显示所有存储库中有关 Dependabot 功能和警报的风险和覆盖范围信息。

有关详细信息,请参阅“关于 Dependabot alerts、“关于 secret scanning alerts for users”和“关于 GitHub Advanced Security”。

关于筛选和排序警报

安全性概述提供了一种强大的方法来了解一组存储库的安全性。 视图与筛选器交互,可用于钻取聚合数据并确定高风险的来源或低功能覆盖范围。 当应用多个筛选器来专注于更窄的兴趣区域时,视图中的数据会发生变化以反映你的选择。 有关详细信息,请参阅“在安全概述中筛选警报”。

对于每种类型的安全警报,还有专用视图,可用于将分析限制为一组特定的警报,然后使用特定于每个视图的各种筛选器进一步缩小结果范围。 例如,在 secret scanning 警报视图中,可以使用 Secret type 筛选器仅查看特定机密(如 GitHub personal access token)的 secret scanning alerts。

注意:安全性概述显示由安全功能引发的活动警报。 如果仓库的安全概述中没有警报,则可能仍然存在未检测到的安全漏洞或代码错误。

关于组织级安全性概述

可以在企业拥有的任何组织的“安全性”选项卡上找到安全性概述。 每个视图显示可以向下钻取的聚合数据,添加每个筛选器时,数据会更新以反映所选的存储库或警报。

公司的应用程序安全团队可以使用不同的视图对组织的安全状态进行广泛和具体的分析。 例如,当你向企业推出 GitHub Advanced Security 时,他们可以使用概述页来监视组织或特定团队对功能的采用情况,或者查看组织的所有存储库中特定类型和严重性级别的所有警报。

组织的组织所有者和安全管理员有权访问组织的安全性概述。 组织成员还可以访问组织级安全性概述,以查看他们拥有管理员权限或已被授予安全警报访问权限的存储库的结果。 有关管理安全警报访问权限的详细信息,请参阅“管理存储库的安全和分析设置”。

“安全风险”视图

此视图显示有关受不同类型的安全警报影响的存储库的数据。

  • 使用“类型”和“团队”下拉列表添加存储库类型和团队筛选器。
  • 单击“打开警报”或“受影响的存储库”,仅显示具有特定安全警报类型的存储库。

此外,在搜索框中单击时,将显示全套可用筛选器的列表。

组织的“安全风险”视图的屏幕截图

“安全覆盖范围”视图

此视图显示有关哪些存储库正在使用安全功能的数据。

  • 使用“类型”和“团队”下拉列表添加存储库类型和团队筛选器。
  • 单击“已启用警报”和标头中列出的其他功能,仅查看启用了这些功能的存储库。
  • 在搜索框中将任何 FEATURE:enabled 筛选器更改为 FEATURE:not-enabled,以查看尚未启用某个功能的存储库。
  • 对于任何存储库,单击“安全设置”以启用一键安装的安全功能。

此外,在搜索框中单击时,将显示全套可用筛选器的列表。

组织的“安全覆盖范围”视图的屏幕截图

关于企业级安全性概述

可以在企业的“代码安全性”选项卡上找到安全性概述。 每个概述都显示了企业的聚合和特定于存储库的安全信息。 可以查看企业拥有的具有安全警报的存储库、查看整个企业的所有安全警报或特定于安全功能的警报。

企业所有者可以查看所有者或安全经理所属组织的警报。 企业所有者可以作为组织所有者加入组织,以在企业级安全性概述中查看所有警报。 有关详细信息,请参阅“管理企业拥有的组织中的角色”。

企业中组织的组织所有者和安全管理员有权访问企业级安全性概述。 他们可以查看他们具有完全访问权限的组织的存储库和警报。

延伸阅读