Оценка внедрения функций безопасности

Посмотрите, какие команды и репозитории уже включили функции для безопасного кода, и определите те, что ещё не защищены.

Кто может использовать эту функцию?

Требуется доступ:

  • Представления организации: доступ на запись к репозиториям в организации
  • Корпоративные представления: владелец организации и менеджеры по безопасности

В этой статье

Вы можете использовать обзор безопасности, чтобы узнать, какие репозитории и команды уже включили каждую функцию безопасности, и где людям требуется больше поощрения для внедрения этих функций.

Примечание.

«Оповещения о pull request» отображаются как активные только тогда, когда code scanning был проанализирован хотя бы один pull-запрос с момента включения оповещений для репозитория.

Просмотр включения функций безопасности для организации

Вы можете просмотреть данные для оценки включения функций для безопасного написания кода в репозиториях в организации.

  1. На GitHubперейдите на главную страницу организации.
  2. Под названием вашей организации нажмите вкладку Security .
  3. Чтобы отобразить вид «Security coverage» в боковой панели, нажмите Coverage.
  4. Используйте параметры в сводке страниц, чтобы отфильтровать результаты для отображения репозиториев, которые требуется оценить. Список репозиториев и метрик, отображаемых на странице, автоматически обновляется, чтобы соответствовать текущему выбору. Дополнительные сведения о фильтрации см. в разделе Обзор фильтрации оповещений в области безопасности.
    • Используйте раскрывающийся список Teams, чтобы отобразить сведения только для репозиториев, принадлежащих одной или нескольким командам. Дополнительные сведения см. в разделе Управление доступом команды к репозиторию организации.
    • Нажмите кнопку NUMBER включено или ЧИСЛО не включено в заголовке для любой функции, чтобы отобразить только репозитории с включенной или не включенной функцией.
    • В верхней части списка репозиториев щелкните NUMBER Archived , чтобы отобразить только архивные репозитории.
    • Щелкните в поле поиска, чтобы добавить дополнительные фильтры в отображаемые репозитории.

В списке репозиториев, метка «Пауза» под «Dependabot» указывает на хранилища, для которых Dependabot updates приостановлены. Для информации о критериях неактивности см. Сведения об обновлениях для системы безопасности Dependabot и Сведения об обновлениях версий Dependabot, для обновлений безопасности и версии соответственно.

Просмотр возможностей для безопасного написания кода в организации

Вы можете просматривать данные для оценки включения функций безопасности в организациях в организации.

  1. В правом верхнем углу GitHub Enterprise Serverщелкните рисунок профиля, а затем выберите параметры Enterprise.
  2.        Вверху страницы нажмите на **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security** вкладку.
  3. Чтобы отобразить представление "Покрытие безопасности", на боковой панели нажмите кнопку "Покрытие".
  4. Используйте параметры в сводке страниц, чтобы отфильтровать результаты для отображения репозиториев, которые требуется оценить. Список репозиториев и метрик, отображаемых на странице, автоматически обновляется, чтобы соответствовать текущему выбору. Дополнительные сведения о фильтрации см. в разделе Обзор фильтрации оповещений в области безопасности.

    • Используйте раскрывающийся список Teams, чтобы отобразить сведения только для репозиториев, принадлежащих одной или нескольким командам. Дополнительные сведения см. в разделе Управление доступом команды к репозиторию организации.

    • Нажмите кнопку NUMBER включено или ЧИСЛО не включено в заголовке для любой функции, чтобы отобразить только репозитории с включенной или не включенной функцией.

    • В верхней части списка репозиториев щелкните NUMBER Archived , чтобы отобразить только архивные репозитории.

    • Щелкните в поле поиска, чтобы добавить дополнительные фильтры в отображаемые репозитории.

    Совет

    Фильтр можно использовать owner в поле поиска для фильтрации данных по организации. Дополнительные сведения см. в разделе Обзор фильтрации оповещений в области безопасности.

Вы можете просмотреть данные для оценки состояния включения и тенденций состояния включения функций безопасности для организации.

  1. На GitHubперейдите на главную страницу организации.
  2. Под названием вашей организации нажмите вкладку Security .
  3. В боковой панели, в разделе «Метрики», нажмите Enablement Trends.
  4. Кликните на одну из вкладок «Dependabot», «Code scanning» или «Secret scanning», чтобы увидеть тенденции enablement и процент репозиториев в вашей организации с включенной этой функцией. Эти данные отображаются в виде графа и подробной таблицы.
  5. При необходимости используйте параметры в верхней части страницы представления "Тенденции включения", чтобы отфильтровать группу репозиториев, для которой вы хотите просмотреть тенденции включения.

    • Используйте средство выбора дат, чтобы задать диапазон времени, для которого требуется просмотреть тенденции включения.

    • Щелкните в поле поиска, чтобы добавить дополнительные фильтры для отображаемых тенденций включения. Фильтры, которые можно применить, совпадают с фильтрами для представления панели мониторинга "Обзор". Дополнительные сведения см. в разделе Обзор фильтрации оповещений в области безопасности.

      Снимок экрана: представление "Тенденции включения" для организации, показывающее состояние Dependabot и тенденции в течение 30 дней с примененным фильтром.

Вы можете просматривать данные для оценки состояния включения и тенденций состояния включения функций безопасности в организациях в организации.

  1. В правом верхнем углу GitHub Enterprise Serverщелкните рисунок профиля, а затем выберите параметры Enterprise.
  2.        Вверху страницы нажмите на **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security** вкладку.
  3. Чтобы отобразить представление "Тенденции включения" на боковой панели, нажмите кнопку "Включить тенденции".
  4. Нажмите на одну из вкладок для «Dependabot», «Code scanning» или «»,Secret scanning чтобы увидеть тенденции активизации и процент репозиториев в разных организациях вашего предприятия с включённой этой функцией. Эти данные отображаются в виде графа и подробной таблицы.
  5. При необходимости используйте параметры в верхней части страницы представления "Тенденции включения", чтобы отфильтровать группу репозиториев, для которой вы хотите просмотреть тенденции включения.
    • Используйте средство выбора дат, чтобы задать диапазон времени, для которого требуется просмотреть тенденции включения.
    • Щелкните в поле поиска, чтобы добавить дополнительные фильтры для отображаемых тенденций включения. Дополнительные сведения см. в разделе Обзор фильтрации оповещений в области безопасности.

Совет

Фильтр можно использовать owner: в поле поиска для фильтрации данных по организации. Дополнительные сведения см. в разделе Обзор фильтрации оповещений в области безопасности.

Действия на основе данных об активизации

После того как вы ознакомились с покрытием enablement, подумайте о следующих действиях.

  1. Проверьте, не настроены ли в вашем предприятии чрезмерно ограничительные политики, ограничивающие использование функций безопасности. См . раздел AUTOTITLE.

  2. Включите функции, которые должны быть включены во всех репозиториях. Для информации о включении функций для всей организации см. раздел AUTOTITLE.

    Например Оповещения о сканировании секретов , защита от push снижает риск утечки безопасности, независимо от того, какая информация хранится в репозитории. Если вы видите репозитории, которые еще не используют эти функции, следует включить их или обсудить план включения с командой, которая владеет репозиторием.

  3. Для других функций подумайте, стоит ли включать эту функцию в большем количестве репозиториев. Например, нет смысла разрешать Dependabot репозитории, которые используют только экосистемы или языки, которые не поддерживаются. Таким образом, это нормально иметь некоторые репозитории, где эти функции не включены.

Дальнейшие действия

Вы можете использовать представление «Enablement trends», чтобы увидеть статусы и тенденции статуса enablement с течением времени для Dependabot, code scanningили secret scanning между репозиториями и организациями. См. Просмотр тенденций enablement для организации или Просмотр тенденций enablement для предприятия.