评估代码安全风险

探索代码中的安全风险

可以使用“安全”选项卡上的不同视图来探索代码中的安全风险。

• 概述： 用于探索安全警报的检测、修正和预防趋势。
• 风险： 用于跨所有警报类型探索存储库的当前状态。
• 警报视图： 用于更详细地探索 code scanning、Dependabot 或 secret scanning 警报。

这些视图提供了数据和筛选器，以便：

• 评估所有存储库的代码安全状况。
• 确定需要解决的影响最大的漏洞。
• 监视修正潜在漏洞的进度。
• 导出当前选择的数据以供进一步分析和报告。

有关概述的信息，请参阅“查看安全见解”。

查看组织级代码安全风险

1. 在 GitHub 上，导航到组织的主页面。

2. 在组织名称下，单击“ 安全性”。

   

3. 若要在边栏中显示“安全风险”视图，请单击“ 风险”。

4. 使用页面摘要中的选项筛选结果以显示要评估的存储库。 页面上显示的存储库和指标列表会自动更新，以匹配当前选择。 有关筛选的详细信息，请参阅“筛选安全概述中的警报”。

   • 使用“团队”下拉菜单以仅显示由一个或多个团队拥有的存储库的信息。
   • 对于任何功能，单击标头中的“受影响的编号”或“不受影响的编号”，以仅显示具有或不具有该类型的未决警报的存储库。
   • 单击标头中“打开警报”的任何说明，以仅显示具有该类型和类别的警报的存储库。 例如，单击“1 关键”以显示存储库中 Dependabot 的关键警报。
   • 在存储库列表顶部，单击“已存档的编号”，以仅显示已存档的存储库。
   • 单击搜索框以向显示的存储库添加更多筛选器。
   

   Note

   The set of unaffected repositories includes all repositories without open alerts and also any repositories where the security feature is not enabled.

5. （可选）使用左侧的边栏更详细地浏览特定安全功能的警报。 在每个页面上，都可使用特定于相应功能的筛选器来优化搜索。 有关可用限定符的详细信息，请参阅“筛选安全概述中的警报”。

6. 或者，使用 “导出 CSV”按钮下载页面上当前显示的数据的 CSV 文件，以便进行安全研究和深入数据分析。 有关详细信息，请参阅“从安全概览导出数据”。

查看企业级代码安全风险

可以查看企业中跨组织的安全警报数据。

1. 导航至 GitHub Enterprise Cloud。

2. 在 GitHub 的右上角，单击你的个人资料照片，然后单击“你的企业”****。

3. 在企业列表中，单击您想要查看的企业。

4. 在页面左侧的企业帐户边栏中，单击 “代码安全性”。

5. 若要在边栏中显示“安全风险”视图，请单击“ 风险”。

6. 使用页面摘要中的选项筛选结果以显示要评估的存储库。 页面上显示的存储库和指标列表会自动更新，以匹配当前选择。 有关筛选的详细信息，请参阅“筛选安全概述中的警报”。

   • 使用“团队”下拉菜单以仅显示由一个或多个团队拥有的存储库的信息。
   • 对于任何功能，单击标头中的“受影响的编号”或“不受影响的编号”，以仅显示具有或不具有该类型的未决警报的存储库。
   • 单击标头中“打开警报”的任何说明，以仅显示具有该类型和类别的警报的存储库。 例如，单击“1 关键”以显示存储库中 Dependabot 的关键警报。
   • 在存储库列表顶部，单击“已存档的编号”，以仅显示已存档的存储库。
   • 单击搜索框以向显示的存储库添加更多筛选器。
   

   Note

   The set of unaffected repositories includes all repositories without open alerts and also any repositories where the security feature is not enabled.

7. （可选）使用左侧的边栏更详细地浏览特定安全功能的警报。 在每个页面上，都可使用特定于相应功能的筛选器来优化搜索。 有关可用限定符的详细信息，请参阅“筛选安全概述中的警报”。

后续步骤

评估代码安全风险后，即可创建一个安全市场活动，以与开发人员协作修正警报。 有关大规模修复安全警报的信息，请参阅“创建和跟踪安全性活动”和“大规模处理和解决安全警报的最佳做法”。