注意: 安全概览目前以 beta 版本提供,并且可能会发生更改。
关于安全性概述
安全概览提供组织或企业的安全状态的概略性摘要,并便于识别需要干预的有问题的存储库。 还可以使用安全概览来查看哪些存储库启用了特定的安全功能,并配置当前未使用的任何可用安全功能。
安全性概述显示了为存储库启用的安全功能,并整合了每个功能的警报。
- 显示所有存储库中有关 Dependabot 功能和警报的风险和覆盖范围信息。
- GitHub Advanced Security 功能(如 code scanning 和 secret scanning)的风险和覆盖范围信息对使用 GitHub Advanced Security 的企业以及公共存储库显示。
有关详细信息,请参阅“关于 Dependabot 警报”、“关于 GitHub 高级安全性。”
关于筛选和排序警报
安全性概述提供了一种强大的方法来了解一组存储库的安全性。 视图与筛选器交互,可用于钻取聚合数据并确定高风险的来源或低功能覆盖范围。 当应用多个筛选器来专注于更窄的兴趣区域时,视图中的数据会发生变化以反映你的选择。 有关详细信息,请参阅“筛选安全概述中的警报”。
对于每种类型的安全警报,还有专用视图,可用于将分析限制为一组特定的警报,然后使用特定于每个视图的各种筛选器进一步缩小结果范围。 例如,在 secret scanning 警报视图中,可以使用 Secret type 筛选器仅查看特定机密(如 GitHub personal access token)的 机密扫描警报。
注意:安全性概述显示由安全功能引发的活动警报。 如果仓库的安全概述中没有警报,则可能仍然存在未检测到的安全漏洞或代码错误。
关于组织级安全性概述
可以在企业拥有的任何组织的“安全性”选项卡上找到安全性概述。 每个视图显示可以向下钻取的聚合数据,添加每个筛选器时,数据会更新以反映所选的存储库或警报。
公司的应用程序安全团队可以使用不同的视图对组织的安全状态进行广泛和具体的分析。 例如,当你向企业推出 GitHub Advanced Security 时,他们可以使用概述页来监视组织或特定团队对功能的采用情况,或者查看组织的所有存储库中特定类型和严重性级别的所有警报。
组织的组织所有者和安全管理员有权访问组织的安全性概述。
了解主要安全性概述
安全概述中的每个存储库都包括每种类型的安全功能的标记以及每种类型的警报数。 如果没有为存储库启用安全功能,则该功能的标记将显示为灰色。此外,还会根据代码扫描、Dependabot 和机密扫描警报为每个存储库计算风险评分。 此分数处于测试阶段,应谨慎使用。 它的算法和方法可能会发生变化。
| 指示器 | 含义 |
|---|---|
| Code scanning 警报。 有关详细信息,请参阅“关于代码扫描”。 | |
| Secret scanning 警报。 有关详细信息,请参阅“关于机密扫描”。 | |
| Dependabot alerts 的通知。 有关详细信息,请参阅“关于 Dependabot 警报”。 | |
| 安全功能已启用,但不会在此存储库中引发警报。 | |
| 此存储库不支持该安全功能。 |
关于企业级安全性概述
可以在企业的“代码安全性”选项卡上找到安全性概述。 每个概述都显示了企业的聚合和特定于存储库的安全信息。 可以查看企业拥有的具有安全警报的存储库、查看整个企业的所有安全警报或特定于安全功能的警报。
企业所有者可以查看所有者或安全经理所属组织的警报。 企业所有者可以作为组织所有者加入组织,以在企业级安全性概述中查看所有警报。 有关详细信息,请参阅“管理企业拥有的组织中的角色”。
企业中组织的组织所有者和安全管理员有权访问企业级安全性概述。 他们可以查看他们具有完全访问权限的组织的存储库和警报。
关于团队级安全性概述
可以在企业拥有的组织中的任何团队的“安全性”选项卡上找到安全性概述。
在团队级别,安全概述显示团队拥有管理权限的仓库特定安全信息。 有关详细信息,请参阅“管理团队对组织仓库的访问”。