关于筛选安全概述
可以使用安全概述中的筛选器来根据一系列因素缩小关注范围,例如警报风险级别、警报类型和功能启用。 根据特定视图以及是在企业级还是组织级查看数据,可以使用不同的筛选器。
安全概览显示的信息因你对存储库的访问权限以及这些存储库是否使用 GitHub Advanced Security 而异。 有关详细信息,请参阅“关于安全概述”。
安全概览筛选逻辑
可以应用筛选器并使用逻辑运算符来显示符合特定安全概览条件的结果。 如果应用了多个不同的筛选器,则会默认使用 AND 逻辑,这意味着只会看到与应用的_所有_筛选器都匹配的结果。 例如,假设添加了筛选器 is:public dependabot:enabled
,则只会看到来自公共并且__ 已启用 Dependabot 的存储库的结果。
目前,有两个逻辑运算符可以应用到安全概览上的筛选器:
-
运算符执行 NOT 逻辑,显示_除_与指定筛选器匹配的结果之外的所有结果。 要使用-
运算符,请将其添加到筛选器的开头。 例如,筛选-repo:REPOSITORY-NAME
将显示_除_REPOSITORY-NAME
以外所有存储库中的数据。,
运算符执行 OR 逻辑,显示与单个筛选器的_任何_指定值匹配的结果。 要使用,
运算符,请将其添加到所列筛选器的每个值之间。 例如,筛选is:public,private
将显示所有公共_或_专用存储库中的数据。 同样,如果使用不同值多次应用同一筛选器,则会使用 OR 逻辑。 例如,is:public is:private
等效于is:public,private
。
筛选方法
所有安全视图都具有可帮助定义筛选器的功能。 这些提供了一种设置筛选器并了解可用选项的简单方法。
- 交互式搜索文本框。 当单击搜索框并按键盘“空格”键时,弹出文本框会显示该视图中可用的筛选器选项。 在按键盘“返回”键添加筛选器之前,可以使用鼠标或键盘箭头键在文本框中选择所需的选项。 所有视图都支持。
- 下拉列表选择器和切换开关。 显示在“搜索文本框”末尾或模拟运算表的标题中。 当选择要查看的数据时,搜索文本框中显示的筛选器会相应地更新。 警报视图支持。
存储库名称、可见性以及状态筛选器
在所有视图中,都有两种方法用于按存储库名称筛选结果。
- 自由文本或关键字搜索。 显示名称包含关键字的所有存储库的数据。 例如,搜索
test
将显示“test-repository”和“octocat-testing”存储库的数据。 repo
限定符。 仅显示与限定符值完全匹配的存储库的数据。 例如,搜索repo:octocat-testing
将仅显示“octocat-testing”存储库的数据。
还可以按存储库可见性(内部、私人或公开)和存档状态进行筛选。
Qualifier | 说明 | 视图 |
---|---|---|
is | 显示所有存储库的以下数据:public 、private 或 internal 。 | “风险”和“覆盖范围” |
archived | 仅显示已存档 (true ) 或活动 (false ) 存储库的数据。 | 除“警报”视图之外的所有视图 |
团队和主题筛选器
这些限定符在所有视图中都可用。
Qualifier | 说明 |
---|---|
team | 显示指定团队具有 写入访问权限或 管理员访问权限的所有存储库的数据。 有关存储库角色的详细信息,请参阅“组织的存储库角色”。 |
topic | 显示按特定主题分类的所有存储库的数据。 有关存储库主题的详细信息,请参阅“使用主题对仓库分类”。 |
安全功能启用筛选器
在“风险”和“覆盖范围”视图中,只能显示已启用 (enabled
) 或未启用 (not-enabled
) 安全功能的存储库的数据。
Qualifier | 说明 |
---|---|
code-scanning-alerts | 显示已配置 code scanning 的存储库。 |
dependabot-alerts | 显示已启用 Dependabot alerts 的存储库。 |
secret-scanning-alerts | 显示已启用 机密扫描警报 的存储库。 |
any-feature | 显示至少启用了一项安全功能的存储库。 |
“覆盖范围”视图的额外筛选器
注意:“安全风险”和“安全覆盖范围”视图目前为 beta 版本,可能会随时发生更改。
Qualifier | 说明 |
---|---|
advanced-security | 显示已启用或未启用 GitHub Advanced Security 的存储库的数据。 |
code-scanning-default-setup | 显示使用 CodeQL 默认设置已启用或未启用 code scanning 的存储库的数据。 |
code-scanning-pull-request-alerts | 显示已启用或未启用 code scanning 以在拉取请求上运行的存储库的数据。 |
dependabot-security-updates | 显示已启用或未启用 Dependabot security updates 的存储库的数据。 |
secret-scanning-push-protection | 显示已启用或未启用 secret scanning 的推送保护的存储库的数据。 |
存储库风险级别筛选
存储库的风险级别取决于安全功能警报的数量和严重程度。 可以使用 risk
限定符筛选风险的级别。
- 风险级别可以是
high
、medium
或low
之一。 - 如果存储库未启用一个或多个安全功能,则存储库的风险级别为
unknown
。 - 如果启用了所有安全功能并且没有报告警报,则存储库的风险级别为
clear
。
警报编号筛选器
这些限定符在企业级“概述”和组织级“安全风险”视图中可用。
Qualifier | 说明 |
---|---|
code-scanning-alerts | 显示等于 (= )、大于 (> ) 或少于 (< ) 特定数量 code scanning 警报的存储库的数据。 例如:对于具有 100 多个警报的存储库为 code-scanning-alerts:>100 。 |
dependabot-alerts | 显示具有特定数量 (= )、大于 (> ) 或少于 (< ) 特定数量 Dependabot alerts 的存储库的数据。 例如:对于少于或等于 10 个警报的存储库为 dependabot-alerts:<=10 。 |
secret-scanning-alerts | 显示具有特定数量 (= )、大于 (> ) 或少于 (< ) 特定数量 机密扫描警报 的存储库的数据。 例如:对于正好有 10 多个警报的存储库为 secret-scanning-alerts:=10 。 |
Dependabot 警报视图筛选器
你可以筛选视图来显示随时可修复的 Dependabot alerts,或哪些位置的有关暴露的其他信息可用。 可以单击任何结果以查看警报的完整详细信息。
限定符 | 说明 |
---|---|
ecosystem | 显示指定生态系统中检测到的 Dependabot alerts,例如:ecosystem:Maven 。 |
has | 显示安全版本已可用 (patch ) 或者至少检测到一个从存储库到易受攻击函数的调用 (vulnerable-calls ) 的漏洞的 Dependabot alerts。 有关详细信息,请参阅“查看和更新 Dependabot 警报”。 |
is | 显示已打开 (open ) 或已关闭 (closed ) 的 Dependabot alerts。 |
package | 显示指定包中检测到的 Dependabot alerts,例如:package:semver 。 |
resolution | 显示关闭时状态为“自动消除”(auto-dismissed )、“已启动修复”(fix-started )、“已修复”(fixed )、“此警报不准确或不正确”(inaccurate )、“没有用于修复的带宽”(no-bandwidth )、“实际上并未使用易受攻击的代码”(not-used ) 或“此项目容许风险”(tolerable-risk ) 的 Dependabot alerts。 |
scope | 显示来自开发依赖项 (development ) 或运行时依赖项 (runtime ) 的 Dependabot alerts。 |
sort | 按警报指向的清单文件路径 (manifest-path ) 或检测到警报的包的名称 (package-name ) 对 Dependabot alerts 进行分组。 或者,按最重要到最不重要(由 CVSS 分数、漏洞影响、相关性和可操作性 (most-important ) 决定)、从最新到最旧 (newest )、从最旧到最新 (oldest ) 或者从最严重到最不严重 (severity ) 的顺序显示警报。 |
Code scanning 警报视图筛选器
所有 code scanning 警报均为以下所示类别之一。 可以单击任何结果,以查看相关查询的完整详细信息以及触发警报的代码行。
限定符 | 说明 |
---|---|
is | 显示已打开 (open ) 或已关闭 (closed ) 的 code scanning 警报。 |
resolution | 显示关闭时状态为“误报”(false-postive )、“已修复”(fixed )、“在测试中使用”(used-in-tests ) 或“不会修复”(wont-fix ) 的 code scanning 警报。 |
rule | 显示指定规则标识的 code scanning 警报。 |
severity | 显示分类为 critical 、high 、medium 或 low 安全警报的 code scanning 警报。 或者,显示分类为 error 、warning 、note 问题的 code scanning 警报。 |
sort | 按从最新到最旧 (created-desc )、最旧到最新 (created-asc )、最近更新时间 (updated-desc ) 或最远更新时间 (updated-asc ) 显示警报。 |
tool | 显示指定工具检测到的 code scanning 警报,例如:对于使用 GitHub 中的 CodeQL 应用程序创建的警报为 tool:CodeQL 。 |
Secret scanning 警报视图筛选器
Qualifier | 说明 |
---|---|
bypassed | 显示已绕过 (true ) 或未绕过 (false ) 推送保护的 机密扫描警报。 |
confidence | 显示置信度为高 (high ) 或其他内容 (other ) 的 机密扫描警报。 |
is | 显示已打开 (open ) 或已关闭 (closed ) 的 机密扫描警报。 |
provider | 显示指定提供程序发出的所有机密的警报,例如:adafruit 。 |
resolution | 显示关闭时状态为“误报”(false-positive )、“已删除模式”(pattern-deleted )、“已编辑模式”(pattern-edited )、“已撤销”(revoked )、“在测试中使用”(used-in-tests ) 或“不会修复”(wont-fix ) 的 机密扫描警报。 |
sort | 按从最新到最旧 (created-desc )、最旧到最新 (created-asc )、最近更新时间 (updated-desc ) 或最远更新时间 (updated-asc ) 显示警报。 |
secret-type | 显示指定机密和提供程序 (provider-pattern ) 或自定义模式 (custom-pattern ) 的警报。 |