Skip to main content

关于安全概述

你可以深入了解组织的整体安全环境,并查看组织拥有的存储库的警报摘要。 还可以监视组织中代码安全功能的采用情况。

谁可以使用此功能?

组织的安全概述可供组织的所有成员使用。 显示的视图和数据由你在组织中的角色以及你对组织内各个存储库的权限决定。 有关详细信息,请参阅“关于安全概述”。

企业的安全概览向组织所有者和安全管理员显示其有权访问的组织的数据。 企业所有者只能查看将其添加为组织所有者或安全管理员的组织的数据。 有关详细信息,请参阅“管理企业拥有的组织中的角色”。

所有企业及其组织都有安全概览。 如果使用 GitHub Advanced Security 功能你将看到其他信息。 有关详细信息,请参阅“关于 GitHub 高级安全性”。

关于安全概述

安全概览提供有关组织或企业安全情况的概括性摘要,方便识别需要干预的存储库。 还可以使用安全概览来查看哪些存储库启用了特定的安全功能,并配置当前未使用的任何可用安全功能。

注意:**** 安全概览显示组织存储库默认分支的信息和指标。

安全概览显示为存储库启用了哪些安全功能,并包括以存储库和警报为重点的视图,以便你可以快速调查安全问题并采取措施进行修正。

  • 显示所有存储库中有关 Dependabot 功能和警报的风险和覆盖范围信息。
  • GitHub Advanced Security 功能(如 code scanning 和 secret scanning)的风险和覆盖范围信息对使用 GitHub Advanced Security。

有关详细信息,请参阅“关于 Dependabot 警报”和“关于 GitHub 高级安全性”。

这些视图与筛选器交互,可用于详细查看聚合数据并确定高风险源或低功能覆盖范围。 当应用多个筛选器来专注于范围更窄的兴趣区域时,视图中的所有数据和指标会发生变化,以反映当前选择。 有关详细信息,请参阅“筛选安全概述中的警报”。

对于每种类型的安全警报,还有专用视图,可用于将分析限制为一组特定的警报,然后使用特定于每个视图的各种筛选器进一步缩小结果范围。 例如,在 secret scanning 警报视图中,可以使用“机密类型”筛选器仅查看特定机密(如 GitHub personal access token)的 机密扫描警报。

注意:安全概述显示由安全功能引发的活动警报。 如果存储库的安全概述中未显示警报,则可能仍然存在未检测到的安全漏洞或代码错误,或可能无法为该存储库启用该功能。

关于组织的安全概述

公司的应用程序安全团队可以使用不同的视图对组织的安全状态进行广泛和具体的分析。 例如,在推出 GitHub Advanced Security 时,团队可以使用“覆盖范围”视图来监视整个组织或特定团队对该功能的采用情况,或者使用“风险”视图来识别具有五个以上打开的 机密扫描警报 的存储库。 还可以使用安全概述来查找一组存储库,并同时为它们启用或禁用安全功能。 有关详细信息,请参阅“为多个存储库启用安全功能”。

可以在企业拥有的任何组织的“安全性”选项卡上找到安全概述。 每个视图都显示你有权访问的数据的摘要。 添加筛选器时,视图中的所有数据和指标都会发生变化,以反映所选的存储库或警报。 有关权限的信息,请参阅“查看安全概述中的数据的权限”。

安全概述具有多个视图,这些视图提供了不同的方法来浏览启用和警报数据。

  • 使用“覆盖范围”来评估组织中各存储库的代码安全功能采用情况。
  • 使用“风险”来评估组织中一个或多个存储库所有类型安全警报的风险。
  • 使用各个安全警报视图来识别特定易受攻击的依赖项、代码漏洞或机密泄露的风险。

Note

摘要视图(“覆盖范围”和“风险”)仅显示高可信度警报的数据。 来自第三方工具的 Code scanning 警报、已忽略目录的 secret scanning 警报和非提供程序警报在这些视图中都被忽略。 因此,单个警报视图可能包括大量打开和关闭的警报。

有关这些视图的详细信息,请参阅 “评估代码安全功能的采用”和“评估代码安全风险”。

关于企业的安全概述

可以在企业的“代码安全性”选项卡上找到安全概述。 每个页面都显示了企业的聚合安全信息以及特定于存储库的安全信息。

与组织的安全概述一样,企业安全概述也有多个视图,提供了不同的方法来浏览启用和警报数据。

  • 使用“覆盖范围”视图来评估企业中跨组织的代码安全功能的采用情况。
  • 使用“风险”视图来评估企业中跨组织的所有类型安全警报的风险。
  • 使用各个安全警报视图来识别特定易受攻击的依赖项、代码漏洞或机密泄露的风险。

有关这些视图的详细信息,请参阅“评估代码安全功能的采用”和“评估代码安全风险”。

有关权限的信息,请参阅“查看安全概述中的数据的权限”。

查看安全概述中的数据的权限

组织级概述

如果你是组织的所有者或安全管理员,你可以在所有视图中看到组织中所有存储库的数据。

如果是组织或团队成员,则可以查看该组织的安全概述,并查看具有适当访问级别的存储库的数据。

组织或团队成员风险和警报视图覆盖范围视图
一个或多个存储库的admin访问权限查看这些存储库的数据查看这些存储库的数据、启用和禁用安全功能
一个或多个存储库的write访问权限查看这些存储库的 code scanning 和 Dependabot 数据无访问权限
一个或多个存储库的 readtriage 访问权限不允许访问不允许访问
一个或多个存储库的安全警报访问权限查看这些存储库的所有安全警报数据无访问权限
有权查看一种或多种类型的安全警报的自定义组织角色查看允许的针对所有视图中所有存储库的警报数据无访问权限

注意:**** 为确保组织成员体验一致且响应迅速,组织级安全概览页面仅显示最近更新的 3,000 个存储库的结果。 如果结果受到限制,页面顶部将显示一条通知。 组织所有者和安全经理将看到所有存储库的结果。

有关安全警报和相关视图的访问权限的详细信息,请参阅“管理存储库的安全和分析设置”和“关于自定义存储库角色”。

企业级概述

注意:**** 如果你是企业所有者,则需要作为组织所有者加入组织,才能在组织级别和企业级别的概览中查看组织存储库的数据。有关详细信息,请参阅“管理企业拥有的组织中的角色”。

在企业级安全概述中,可以查看你作为组织所有者或安全经理的所有组织的数据。 但你无法使用企业级安全概述启用和禁用安全功能。 有关详细信息,请参阅“管理企业的 GitHub Advanced Security 功能”。

延伸阅读