Skip to main content

评估代码安全风险

可以使用安全概述来查看哪些团队和存储库受到安全警报的影响,并确定需要采取紧急补救措施的存储库。

谁可以使用此功能?

访问需要:

  • 组织视图:对组织中的存储库的写入访问权限
  • 企业视图:组织所有者和安全经理

探索代码中的安全风险

可以使用“安全”选项卡上的不同视图来探索代码中的安全风险。

  • 概述: 用于探索安全警报的检测修正预防趋势。
  • 风险: 用于跨所有警报类型探索存储库的当前状态。
  • 警报视图: 用于更详细地探索 code scanning、Dependabot 或 secret scanning 警报。

这些视图提供了数据和筛选器,以便:

  • 评估所有存储库的代码安全状况。
  • 确定需要解决的影响最大的漏洞。
  • 监视修正潜在漏洞的进度。
  • 导出当前选择的数据以供进一步分析和报告。

有关概述的信息,请参阅“查看安全见解”。

查看组织级代码安全风险

  1. 在 GitHub 上,导航到组织的主页面。

  2. 在组织名称下,单击“ 安全性”。

    组织的水平导航栏的屏幕截图。 标有盾牌图标和“安全”字样的选项卡以深橙色轮廓标出。

  3. 若要在边栏中显示“安全风险”视图,请单击“ 风险”。

  4. 使用页面摘要中的选项筛选结果以显示要评估的存储库。 页面上显示的存储库和指标列表会自动更新,以匹配当前选择。 有关筛选的详细信息,请参阅“筛选安全概述中的警报”。

    • 使用“团队”下拉菜单以仅显示由一个或多个团队拥有的存储库的信息。
    • 对于任何功能,单击标头中的“受影响的编号”或“不受影响的编号”,以仅显示具有或不具有该类型的未决警报的存储库。
    • 单击标头中“打开警报”的任何说明,以仅显示具有该类型和类别的警报的存储库。 例如,单击“1 关键”以显示存储库中 Dependabot 的关键警报。
    • 在存储库列表顶部,单击“已存档的编号”,以仅显示已存档的存储库。
    • 单击搜索框以向显示的存储库添加更多筛选器。

    组织的“安全风险”视图的屏幕截图。 筛选选项用深橙色框出。

    Note

    The set of unaffected repositories includes all repositories without open alerts and also any repositories where the security feature is not enabled.

  5. (可选)使用左侧的边栏更详细地浏览特定安全功能的警报。 在每个页面上,都可使用特定于相应功能的筛选器来优化搜索。 有关可用限定符的详细信息,请参阅“筛选安全概述中的警报”。

  6. 或者,使用 导出 CSV”按钮下载页面上当前显示的数据的 CSV 文件,以便进行安全研究和深入数据分析。 有关详细信息,请参阅“从安全概览导出数据”。

Note

摘要视图(“概述”、“覆盖范围”和“风险”)仅显示 默认的 警报的数据。 来自第三方工具的 Secret scanning 警报和非提供程序警报在这些视图中都被忽略。 因此,单个警报视图可能包括大量打开和关闭的警报。

查看企业级代码安全风险

可以查看企业中跨组织的安全警报数据。

Tip

可以使用搜索字段中的 owner 筛选器按组织筛选数据。 如果是 具有托管用户的企业 的所有者,则可以使用 owner-type 筛选器按存储库所有者的类型筛选数据,以便可以查看组织拥有的存储库或用户拥有的存储库中的数据。 有关详细信息,请参阅“筛选安全概述中的警报”。

  1. 导航至 GitHub Enterprise Cloud。

  2. 在 GitHub 的右上角,单击你的个人资料照片,然后单击“你的企业”****。

  3. 在企业列表中,单击您想要查看的企业。

  4. 在页面左侧的企业帐户边栏中,单击 代码安全性”。

  5. 若要在边栏中显示“安全风险”视图,请单击“ 风险”。

  6. 使用页面摘要中的选项筛选结果以显示要评估的存储库。 页面上显示的存储库和指标列表会自动更新,以匹配当前选择。 有关筛选的详细信息,请参阅“筛选安全概述中的警报”。

    • 使用“团队”下拉菜单以仅显示由一个或多个团队拥有的存储库的信息。
    • 对于任何功能,单击标头中的“受影响的编号”或“不受影响的编号”,以仅显示具有或不具有该类型的未决警报的存储库。
    • 单击标头中“打开警报”的任何说明,以仅显示具有该类型和类别的警报的存储库。 例如,单击“1 关键”以显示存储库中 Dependabot 的关键警报。
    • 在存储库列表顶部,单击“已存档的编号”,以仅显示已存档的存储库。
    • 单击搜索框以向显示的存储库添加更多筛选器。

    企业“安全风险”视图的屏幕截图。 筛选选项用深橙色框出。

    Note

    The set of unaffected repositories includes all repositories without open alerts and also any repositories where the security feature is not enabled.

  7. (可选)使用左侧的边栏更详细地浏览特定安全功能的警报。 在每个页面上,都可使用特定于相应功能的筛选器来优化搜索。 有关可用限定符的详细信息,请参阅“筛选安全概述中的警报”。

Note

摘要视图(“概述”、“覆盖范围”和“风险”)仅显示 默认的 警报的数据。 来自第三方工具的 Secret scanning 警报和非提供程序警报在这些视图中都被忽略。 因此,单个警报视图可能包括大量打开和关闭的警报。

后续步骤

评估代码安全风险后,即可创建一个安全市场活动,以与开发人员协作修正警报。 有关大规模修复安全警报的信息,请参阅“创建和跟踪安全性活动”和“大规模处理和解决安全警报的最佳做法”。