Общие сведения о безопасности

Обзор безопасности содержит аналитические сведения о безопасности кода, хранящегося в репозиториях в организации.

        **Все организации**GitHub Team могут использовать бесплатное **secret risk assessment** приложение для оценки риска утечки секретов, см. [AUTOTITLE](/code-security/securing-your-organization/understanding-your-organizations-exposure-to-leaked-secrets/viewing-the-secret-risk-assessment-report-for-your-organization).

        GitHub Team Аккаунты, покупающие **GitHub Secret Protection or GitHub Code Security** покупку, имеют доступ к просмотрам с дополнительными инсайтами.

Информация ниже описывает представления, доступные организациям GitHub Secret Protection or GitHub Code Security , которые вы можете использовать для выявления тенденций в обнаружении, устранении и предотвращении оповещений безопасности, а также для глубокого изучения текущего состояния ваших репозиториев.

Сведения о представлениях

Примечание.

Во всех представлениях отображаются сведения и метрики для ветвей по умолчанию репозиториев, которые у вас есть разрешение на просмотр в организации или предприятии.

Представления интерактивны с фильтрами, которые позволяют подробно просматривать агрегированные данные и определять источники высокого риска, просматривать тенденции безопасности и просматривать влияние анализа запросов на вытягивание при блокировке уязвимостей безопасности в коде. При применении нескольких фильтров для фокусировки на более узких областях интереса все данные и метрики в представлении изменяются, чтобы отразить текущий выбор. Дополнительные сведения см. в разделе Обзор фильтрации оповещений в области безопасности.

          В обзоре безопасности можно скачать файлы с разделиющими запятыми (CSV), содержащие данные с нескольких страниц вашей организации или enterprise. Эти файлы можно использовать для таких усилий, как исследования безопасности и подробный анализ данных, а также легко интегрироваться с внешними наборами данных. Для получения дополнительной информации см. [AUTOTITLE](/code-security/security-overview/exporting-data-from-security-overview).

Существуют выделенные представления для каждого типа оповещений системы безопасности. Вы можете ограничить анализ определенным типом оповещений, а затем сузить результаты с помощью диапазона фильтров, относящихся к каждому представлению. Например, в режиме secret scanning оповещений можно использовать фильтр «Тип секрета», чтобы просматривать только Оповещения о сканировании секретов конкретный секрет, например GitHubpersonal access token, .

Примечание.

Общие сведения о безопасности отображают активные оповещения, вызванные функциями безопасности. Если в обзоре безопасности для репозитория нет оповещений, не обнаруженные уязвимости системы безопасности или ошибки кода по-прежнему могут существовать, или компонент может быть не включен для этого репозитория.

Общие сведения о безопасности для организаций

Группа безопасности приложений в вашей компании может использовать различные представления для широкого и конкретного анализа состояния безопасности вашей организации. Например, команда может использовать представление панели мониторинга "Обзор" для отслеживания ландшафта безопасности и прогрессии организации.

Обзор безопасности можно найти на Security and quality вкладке для любой организации. В каждом представлении показана сводка данных, к которым у вас есть доступ. При добавлении фильтров все данные и метрики в представлении изменяются, чтобы отразить выбранные репозитории или оповещения.

Обзор безопасности содержит несколько представлений, которые предоставляют различные способы изучения данных включения и оповещения.

        **Обзор:** визуализировать тенденции в **обнаружении**, **устранении** и **предотвращении** оповещений безопасности. Для получения информации о доступе и использовании панели управления см. [AUTOTITLE](/code-security/security-overview/viewing-security-insights). Для подробного объяснения метрик и расчётов см. [AUTOTITLE](/code-security/reference/security-at-scale/security-overview-dashboard-metrics).

        **Представления рисков и оповещений:** изучите риск от оповещений системы безопасности всех типов или сосредоточьтесь на одном типе оповещений и определите риск от определенных уязвимых зависимостей, уязвимостей кода или утечки секретов, см [. раздел AUTOTITLE](/code-security/security-overview/assessing-code-security-risk).

        **Освещение:** оценка внедрения функций безопасности во всех хранилищах организации, см. [AUTOTITLE](/code-security/security-overview/assessing-adoption-code-security).

        **Оценки:** независимо от статуса Advanced Security активации функций, организации могут GitHub TeamGitHub Enterprise запускать бесплатный отчёт для сканирования кода на предмет утечок секретов, см. [AUTOTITLE](/code-security/securing-your-organization/understanding-your-organizations-exposure-to-leaked-secrets/about-secret-risk-assessment).

        **Кампании: координация** и измерение целевых усилий по устранению рисков, группирование связанных задач безопасности между репозиториями, назначение владельцев и отслеживание прогресса в достижении определённых целей по снижению рисков.

        **Тенденции в поддержке:** посмотрите, как быстро разные команды внедряют функции безопасности.

        **Оповещения о pull-запросах CodeQL:** оцените влияние запуска CodeQL на pull requests и как команды разработчиков решают оповещения о сканировании кода, см. [AUTOTITLE](/code-security/security-overview/viewing-metrics-for-pull-request-alerts).

        **
        Dependabot Панель управления**: Распределяйте приоритеты и отслеживайте критические уязвимости, выявляя, устраняя и измеряя улучшения безопасности в репозиториях.

        **
        Secret scanning Инсайты:** узнайте, какие типы секретов блокируются защитой пушом, а какие команды обходят защиту

от пуша, см. Просмотр метрик для защиты от принудительной проверки секретов и AUTOTITLE.

Вы также создаёте и управляете кампаниями безопасности для устранения оповещений из обзора безопасности, см. Создание кампаний безопасности и управление ими и AUTOTITLE.

Общие сведения о безопасности для предприятий

Обзор безопасности можно найти на Security and quality вкладке вашего предприятия. На каждой странице отображаются агрегированные и сведения о безопасности для конкретного репозитория для вашего предприятия.

Обзор безопасности для предприятий имеет несколько представлений, предоставляющих различные способы изучения данных, включая обзорную панель управления, визуализирующую тенденции оповещений. Для информации о панели управления см. Просмотр аналитических сведений о безопасности и Обзор индикаторов панели управления безопасностью.

Обзор доступа к данным в области безопасности

То, что вы видите в обзоре безопасности, зависит от вашей роли и прав в организации или предприятии.

Вообще:

        **Владельцы организаций и менеджеры по безопасности** могут просматривать данные о безопасности во всех репозиториях своей организации.

        **Члены организации** могут просматривать данные только для репозиториев, где у них есть доступ к оповещениям безопасности.

        **Владельцы предприятий** могут просматривать агрегированные данные о безопасности в обзоре безопасности на уровне предприятия для организаций, где они являются владельцем или менеджером по безопасности. Чтобы видеть детали на уровне репозитория, они должны выполнять соответствующую роль в организации.

Обзор безопасности показывает данные только для репозиториев, которые у вас есть разрешение, и некоторые просмотры или действия могут быть ограничены в зависимости от вашей роли.

Для подробной информации о разрешениях по ролям, включая доступные представления и влияние доступа к репозиториям на видимость, см. Разрешения обзора безопасности.

Понимание точности данных панели управления

Обзорная панель отображает метрики, основанные на текущем состоянии ваших репозиториев и историческом состоянии оповещений о безопасности. Эта модель данных имеет важные последствия для согласованности данных:

          **Данные меняются со временем:** Метрики панели управления могут изменяться в течение одного и того же исторического периода времени при просмотре в разное время. Это происходит, когда репозитории удаляются, изменяются уведомления по безопасности или другие изменения влияют на базовые данные. Если вам нужны согласованные данные для отчётов по соблюдению требований или аудита, используйте журнал аудита. См [. раздел AUTOTITLE](/code-security/getting-started/auditing-security-alerts).

          **Данные оповещений исторические; атрибуты репозитория актуальны:** Панель отслеживает оповещения о безопасности на основе их исторического состояния за выбранный период. Однако фильтры репозиториев (например, архивированный/активный статус) отражают _текущее состояние_ репозиториев.

Например, если вы сегодня архивируете репозиторий, любые открытые оповещения в этом репозитории автоматически закрываются. Если затем посмотреть обзорную панель за прошлую неделю:

Репозиторий появляется только при фильтрации для отображения архивированных репозиториев (текущего состояния)
Оповещения из этого хранилища отображаются как открытые (их состояние за прошлую неделю)

Такой дизайн гарантирует, что тренды оповещений точно отражают активность безопасности в течение анализируемого периода, а фильтры репозиториев помогают сосредоточиться на текущей структуре репозитория.

Дополнительные материалы

        [AUTOTITLE](/code-security/getting-started/securing-your-repository)

        [AUTOTITLE](/code-security/securing-your-organization)

        [AUTOTITLE](/code-security/adopting-github-advanced-security-at-scale/introduction-to-adopting-github-advanced-security-at-scale)

Кто может использовать эту функцию?

В этой статье