Skip to main content

评估代码安全风险

可以使用安全概述来查看哪些团队和存储库受到安全警报的影响,并确定需要采取紧急补救措施的存储库。

谁可以使用此功能?

组织的安全概述可供组织的所有成员使用。 显示的视图和数据由你在组织中的角色以及你对组织内各个存储库的权限决定。 有关详细信息,请参阅“关于安全概述”。

企业的安全概览向组织所有者和安全管理员显示其有权访问的组织的数据。 企业所有者只能查看将其添加为组织所有者或安全管理员的组织的数据。 有关详细信息,请参阅“管理企业拥有的组织中的角色”。

所有企业及其组织都有安全概览。 如果使用 GitHub Advanced Security 功能你将看到其他信息。 有关详细信息,请参阅“关于 GitHub 高级安全性”。

关于代码中的安全风险

可以使用安全概述来查看哪些存储库和团队不受任何安全警报的影响,以及哪些存储库和团队有未解决的安全警报。 “安全风险”页显示有关组织或企业中的哪些存储库受安全警报影响的摘要和详细信息,以及按严重性划分的警报明细。 可以使用“受影响”和“不受影响”链接、“未决警报”下的链接、“Teams”下拉菜单以及页眉中的搜索字段筛选视图,以仅显示部分存储库。 可以通过该视图更广泛地了解存储库、团队或存储库组,因为你可以在一个视图中查看所有类型的安全警报。

组织的“安全”选项卡上“安全风险”视图标题部分的屏幕截图。

注意:请务必了解,所有不存在未决警报的存储库都包含在不受影响的存储库集中。 也就是说,不受影响的存储库包括未启用该功能的任何存储库,以及已扫描且发现的警报均已解决的存储库。

查看组织级代码安全风险

安全概览显示的信息因你对存储库和组织的访问权限以及这些存储库和组织是否使用 GitHub Advanced Security 而异。 有关详细信息,请参阅“关于安全概述”。

  1. 在 你的 GitHub Enterprise Server 实例 上,导航到组织的主页。

  2. 在组织名称下,单击“ 安全性”。

    组织的水平导航栏的屏幕截图。 标有盾牌图标和“安全”字样的选项卡以深橙色轮廓标出。

  3. 若要在边栏中显示“安全风险”视图,请单击“ 风险”。

  4. 使用页面摘要中的选项筛选结果以显示要评估的存储库。 页面上显示的存储库和指标列表会自动更新,以匹配当前选择。 有关筛选的详细信息,请参阅“筛选安全概述中的警报”。

    • 使用“团队”下拉菜单以仅显示由一个或多个团队拥有的存储库的信息。
    • 对于任何功能,单击标头中的“受影响的编号”或“不受影响的编号”,以仅显示具有或不具有该类型的未决警报的存储库。
    • 单击标头中“打开警报”的任何说明,以仅显示具有该类型和类别的警报的存储库。 例如,单击“1 关键”以显示存储库中 Dependabot 的关键警报。
    • 在存储库列表顶部,单击“已存档的编号”,以仅显示已存档的存储库。
    • 单击搜索框以向显示的存储库添加更多筛选器。

    组织的“安全风险”视图的屏幕截图。 筛选选项用深橙色框出。

  5. (可选)使用左侧的边栏更详细地浏览特定安全功能的警报。 在每个页面上,都可使用特定于相应功能的筛选器来优化搜索。 有关可用限定符的详细信息,请参阅“筛选安全概述中的警报”。

注意: 摘要视图 (“覆盖”和“风险”)仅显示高可信度警报的数据。 来自第三方工具的 Code scanning 警报、已忽略目录的 secret scanning 警报和非提供程序警报在这些视图中都被忽略。 因此,单个警报视图可能包括大量打开和关闭的警报。

查看企业级代码安全风险

可以查看企业中跨组织的安全警报数据。 安全概览显示的信息因你对存储库和组织的访问权限以及这些存储库和组织是否使用 GitHub Advanced Security 而异。 有关详细信息,请参阅“关于安全概述”。

Tip

可以使用搜索字段中的 owner 筛选器按组织筛选数据。 有关详细信息,请参阅“筛选安全概述中的警报”。

  1. 导航至 GitHub Enterprise Cloud。

  2. 在 GitHub 的右上角,单击你的个人资料照片,然后单击“你的企业”****。

  3. 在企业列表中,单击您想要查看的企业。

  4. 在页面左侧的企业帐户边栏中,单击 代码安全性”。

  5. 若要在边栏中显示“安全覆盖范围”视图,请单击“风险”。

  6. 使用页面摘要中的选项筛选结果以显示要评估的存储库。 页面上显示的存储库和指标列表会自动更新,以匹配当前选择。 有关筛选的详细信息,请参阅“筛选安全概述中的警报”。

    • 使用“团队”下拉菜单以仅显示由一个或多个团队拥有的存储库的信息。
    • 对于任何功能,单击标头中的“受影响的编号”或“不受影响的编号”,以仅显示具有或不具有该类型的未决警报的存储库。
    • 单击标头中“打开警报”的任何说明,以仅显示具有该类型和类别的警报的存储库。 例如,单击“1 关键”以显示存储库中 Dependabot 的关键警报。
    • 在存储库列表顶部,单击“已存档的编号”,以仅显示已存档的存储库。
    • 单击搜索框以向显示的存储库添加更多筛选器。

    企业“安全风险”视图的屏幕截图。 筛选选项用深橙色框出。

注意: 摘要视图 (“覆盖”和“风险”)仅显示高可信度警报的数据。 来自第三方工具的 Code scanning 警报、已忽略目录的 secret scanning 警报和非提供程序警报在这些视图中都被忽略。 因此,单个警报视图可能包括大量打开和关闭的警报。