Общие сведения о безопасности

Вы можете получить аналитические сведения об общем ландшафте безопасности вашей организации или предприятия и определить репозитории, требующие вмешательства с помощью обзора безопасности.

Кто может использовать эту функцию?

Security overview is available for all organizations owned by GitHub Team or GitHub Enterprise that have run Secret risk assessment.

Additional views are available for organizations.

Find out how to run a free secret risk assessment

В этой статье

Обзор безопасности содержит ориентированные представления, в которых можно изучить тенденции обнаружения, исправления и предотвращения оповещений системы безопасности и углубиться в текущее состояние баз кода.

Все организации на GitHub Enterprise могут использовать данные Dependabot для оценки безопасности цепочки поставок во всех репозиториях.

Кроме того, данные для функций Advanced Security, например code scanning и secret scanning, отображаются для [организаций и предприятий, использующих GitHub Secret Protection, GitHub Code Security, or GitHub Advanced Security, см. в разделе AUTOTITLE и AUTOTITLE.](/get-started/learning-about-github/about-github-advanced-security)

Сведения о представлениях

Примечание.

Во всех представлениях отображаются сведения и метрики для ветвей по умолчанию репозиториев, которые у вас есть разрешение на просмотр в организации или предприятии.

Представления интерактивны с фильтрами, которые позволяют подробно просматривать агрегированные данные и определять источники высокого риска, просматривать тенденции безопасности и просматривать влияние анализа запросов на вытягивание при блокировке уязвимостей безопасности в коде. При применении нескольких фильтров для фокусировки на более узких областях интереса все данные и метрики в представлении изменяются, чтобы отразить текущий выбор. Дополнительные сведения см. в разделе Обзор фильтрации оповещений в области безопасности.

Существуют выделенные представления для каждого типа оповещений системы безопасности. Вы можете ограничить анализ определенным типом оповещений, а затем сузить результаты с помощью диапазона фильтров, относящихся к каждому представлению. Например, в представлении оповещений secret scanning можно использовать фильтр "Тип секрета" для просмотра только Оповещения о сканировании секретов для определенного секрета, например GitHub personal access token.

Примечание.

Общие сведения о безопасности отображают активные оповещения, вызванные функциями безопасности. Если в обзоре безопасности для репозитория нет оповещений, не обнаруженные уязвимости системы безопасности или ошибки кода по-прежнему могут существовать, или компонент может быть не включен для этого репозитория.

Общие сведения о безопасности для организаций

Группа безопасности приложений в вашей компании может использовать различные представления для широкого и конкретного анализа состояния безопасности вашей организации. Например, команда может использовать представление панели мониторинга "Обзор" для отслеживания ландшафта безопасности и прогрессии организации.

Общие сведения о безопасности можно найти на вкладке "Безопасность " для любой организации. В каждом представлении показана сводка данных, к которым у вас есть доступ. При добавлении фильтров все данные и метрики в представлении изменяются, чтобы отразить выбранные репозитории или оповещения.

Обзор безопасности содержит несколько представлений, которые предоставляют различные способы изучения данных включения и оповещения.

  •         **Обзор:** визуализировать тенденции в **обнаружении**, **устранении** и **предотвращении** оповещений безопасности. Для получения информации о доступе и использовании панели управления см. [АВТОЗАГОЛОВОК](/code-security/security-overview/viewing-security-insights). Для подробного объяснения метрик и расчётов см. [АВТОЗАГОЛОВОК](/code-security/reference/security-at-scale/security-overview-dashboard-metrics).

  •         **Представления рисков и оповещений:** изучите риск от оповещений системы безопасности всех типов или сосредоточьтесь на одном типе оповещений и определите риск от определенных уязвимых зависимостей, уязвимостей кода или утечки секретов, см [. раздел AUTOTITLE](/code-security/security-overview/assessing-code-security-risk).

  •         **Охват:** оценка внедрения функций безопасности в репозиториях организации см. в разделе [AUTOTITLE](/code-security/security-overview/assessing-adoption-code-security).

  •         **Оценки:** независимо от состояния включения функций Advanced Security организации на GitHub Team и GitHub Enterprise могут запускать бесплатный отчет для сканирования кода в организации для утечки секретов, см. в разделе [AUTOTITLE](/code-security/securing-your-organization/understanding-your-organizations-exposure-to-leaked-secrets/about-secret-risk-assessment).

  •         **Тенденции включения:** узнайте, как быстро разные команды принимают функции безопасности.

  •         **Оповещения запроса на вытягивание CodeQL:** оценка влияния выполнения CodeQL на запросы на вытягивание и разрешение оповещений проверки кода, см. в статье [AUTOTITLE](/code-security/security-overview/viewing-metrics-for-pull-request-alerts). **Dependabot панели мониторинга**: приоритет и отслеживание критически важных уязвимостей путем выявления, исправления и измерения улучшений безопасности в репозиториях.

  •         **Secret scanning аналитика:** узнайте, какие типы секретов блокируются push-protection и какие команды обходят защиту от push, см. раздел [AUTOTITLE и [AUTOTITLE](/code-security/security-overview/viewing-metrics-for-secret-scanning-push-protection)](/code-security/security-overview/reviewing-requests-to-bypass-push-protection).

Общие сведения о безопасности для предприятий

Общие сведения о безопасности можно найти на вкладке "Безопасность " для вашего предприятия. На каждой странице отображаются агрегированные и сведения о безопасности для конкретного репозитория для вашего предприятия.

Обзор безопасности для предприятий имеет несколько представлений, предоставляющих различные способы изучения данных, включая обзорную панель управления, визуализирующую тенденции оповещений. Для информации о панели управления см. Просмотр аналитических сведений о безопасности и Обзор индикаторов панели управления безопасностью.

Обзор доступа к данным в области безопасности

То, что вы видите в обзоре безопасности, зависит от вашей роли и прав в организации или предприятии.

Вообще:

  •         **Владельцы организаций и менеджеры по безопасности** могут просматривать данные о безопасности во всех репозиториях своей организации.

  •         **Члены организации** могут просматривать данные только для репозиториев, где у них есть доступ к оповещениям безопасности.

  •         **Владельцы предприятий** могут просматривать агрегированные данные о безопасности в обзоре безопасности на уровне предприятия для организаций, где они являются владельцем или менеджером по безопасности. Чтобы видеть детали на уровне репозитория, они должны выполнять соответствующую роль в организации.

Обзор безопасности показывает данные только для репозиториев, которые у вас есть разрешение, и некоторые просмотры или действия могут быть ограничены в зависимости от вашей роли.

Для подробной информации о разрешениях по ролям, включая доступные представления и влияние доступа к репозиториям на видимость, см. Разрешения обзора безопасности.

Понимание точности данных панели управления

Обзорная панель отображает метрики, основанные на текущем состоянии ваших репозиториев и историческом состоянии оповещений о безопасности. Эта модель данных имеет важные последствия для согласованности данных:

          **Данные меняются со временем:** Метрики панели управления могут изменяться в течение одного и того же исторического периода времени при просмотре в разное время. Это происходит, когда репозитории удаляются, изменяются уведомления по безопасности или другие изменения влияют на базовые данные. Если вам нужны согласованные данные для отчётов по соблюдению требований или аудита, используйте журнал аудита. См [. раздел AUTOTITLE](/code-security/getting-started/auditing-security-alerts).

          **Данные оповещений исторические; атрибуты репозитория актуальны:** Панель отслеживает оповещения о безопасности на основе их исторического состояния за выбранный период. Однако фильтры репозиториев (например, архивированный/активный статус) отражают _текущее состояние_ репозиториев.

Например, если вы сегодня архивируете репозиторий, любые открытые оповещения в этом репозитории автоматически закрываются. Если затем посмотреть обзорную панель за прошлую неделю:

  • Репозиторий появляется только при фильтрации для отображения архивированных репозиториев (текущего состояния)
  • Оповещения из этого хранилища отображаются как открытые (их состояние за прошлую неделю)

Такой дизайн гарантирует, что тренды оповещений точно отражают активность безопасности в течение анализируемого периода, а фильтры репозиториев помогают сосредоточиться на текущей структуре репозитория.

Дополнительные материалы

  •         [AUTOTITLE](/code-security/getting-started/securing-your-repository)

  •         [AUTOTITLE](/code-security/how-tos/secure-at-scale/configure-enterprise-security/establish-complete-coverage)

  •         [AUTOTITLE](/code-security/adopting-github-advanced-security-at-scale/introduction-to-adopting-github-advanced-security-at-scale)