探索代码中的安全风险
可以使用“安全”选项卡上的不同视图来探索代码中的安全风险。
- 概述: 用于探索安全警报的检测、修正和预防趋势。
- 风险: 用于跨所有警报类型探索存储库的当前状态。
- 警报视图: 用于更详细地探索 code scanning、Dependabot 或 secret scanning 警报。
这些视图提供了数据和筛选器,以便:
- 评估所有存储库的代码安全状况。
- 确定需要解决的影响最大的漏洞。
- 监视修正潜在漏洞的进度。
- 导出当前选择的数据以供进一步分析和报告。
有关概述的信息,请参阅“查看安全见解”。
查看组织级代码安全风险
-
在 GitHub 上,导航到组织的主页面。
-
在组织名称下,单击“ 安全性”。
-
若要在边栏中显示“安全风险”视图,请单击“ 风险”。
-
使用页面摘要中的选项筛选结果以显示要评估的存储库。 页面上显示的存储库和指标列表会自动更新,以匹配当前选择。 有关筛选的详细信息,请参阅“筛选安全概述中的警报”。
- 使用“团队”下拉菜单以仅显示由一个或多个团队拥有的存储库的信息。
- 对于任何功能,单击标头中的“受影响的编号”或“不受影响的编号”,以仅显示具有或不具有该类型的未决警报的存储库。
- 单击标头中“打开警报”的任何说明,以仅显示具有该类型和类别的警报的存储库。 例如,单击“1 关键”以显示存储库中 Dependabot 的关键警报。
- 在存储库列表顶部,单击“已存档的编号”,以仅显示已存档的存储库。
- 单击搜索框以向显示的存储库添加更多筛选器。
Note
The set of unaffected repositories includes all repositories without open alerts and also any repositories where the security feature is not enabled.
-
(可选)使用左侧的边栏更详细地浏览特定安全功能的警报。 在每个页面上,都可使用特定于相应功能的筛选器来优化搜索。 有关可用限定符的详细信息,请参阅“筛选安全概述中的警报”。
-
或者,使用 “导出 CSV”按钮下载页面上当前显示的数据的 CSV 文件,以便进行安全研究和深入数据分析。 有关详细信息,请参阅“从安全概览导出数据”。
Note
摘要视图(“概述”、“覆盖范围”和“风险”)仅显示 默认的 警报的数据。 来自第三方工具的 Secret scanning 警报和非提供程序警报在这些视图中都被忽略。 因此,单个警报视图可能包括大量打开和关闭的警报。
查看企业级代码安全风险
可以查看企业中跨组织的安全警报数据。
Tip
可以使用搜索字段中的 owner
筛选器按组织筛选数据。 如果是 具有托管用户的企业 的所有者,则可以使用 owner-type
筛选器按存储库所有者的类型筛选数据,以便可以查看组织拥有的存储库或用户拥有的存储库中的数据。 有关详细信息,请参阅“筛选安全概述中的警报”。
-
导航至 GitHub Enterprise Cloud。
-
在 GitHub 的右上角,单击你的个人资料照片,然后单击“你的企业”****。
-
在企业列表中,单击您想要查看的企业。
-
在页面左侧的企业帐户边栏中,单击 “代码安全性”。
-
若要在边栏中显示“安全风险”视图,请单击“ 风险”。
-
使用页面摘要中的选项筛选结果以显示要评估的存储库。 页面上显示的存储库和指标列表会自动更新,以匹配当前选择。 有关筛选的详细信息,请参阅“筛选安全概述中的警报”。
- 使用“团队”下拉菜单以仅显示由一个或多个团队拥有的存储库的信息。
- 对于任何功能,单击标头中的“受影响的编号”或“不受影响的编号”,以仅显示具有或不具有该类型的未决警报的存储库。
- 单击标头中“打开警报”的任何说明,以仅显示具有该类型和类别的警报的存储库。 例如,单击“1 关键”以显示存储库中 Dependabot 的关键警报。
- 在存储库列表顶部,单击“已存档的编号”,以仅显示已存档的存储库。
- 单击搜索框以向显示的存储库添加更多筛选器。
Note
The set of unaffected repositories includes all repositories without open alerts and also any repositories where the security feature is not enabled.
-
(可选)使用左侧的边栏更详细地浏览特定安全功能的警报。 在每个页面上,都可使用特定于相应功能的筛选器来优化搜索。 有关可用限定符的详细信息,请参阅“筛选安全概述中的警报”。
Note
摘要视图(“概述”、“覆盖范围”和“风险”)仅显示 默认的 警报的数据。 来自第三方工具的 Secret scanning 警报和非提供程序警报在这些视图中都被忽略。 因此,单个警报视图可能包括大量打开和关闭的警报。
后续步骤
评估代码安全风险后,即可创建一个安全市场活动,以与开发人员协作修正警报。 有关大规模修复安全警报的信息,请参阅“创建和跟踪安全性活动”和“大规模处理和解决安全警报的最佳做法”。